CVE-2024-3094:XZ工具中新發現的後門

八月 1, 2024 by
Filed under: killtest 

原创 岱军 云云众生s
xz-utils 是一款流行的壓縮工具,在 Linux 系統中廣泛使用,這表明了它在軟體生態系統中的關鍵作用。 2024 年 3 月 29 日發現的 xz-utils 後門使系統面臨潛在的後門存取和遠端程式碼執行風險。它特別針對使用 glibc、systemd 和已修補 OpenSSH 的系統上的 xz-utils 5.6.0 和 5.6.1 版本。 …

譯自CVE-2024-3094: Newly Discovered Backdoor in XZ tools,作者 Ona Blanchette; Aqua Team。

哪些系統容易受到攻擊?
使用 glibc 以及 xz 或 liblzma 版本 5.6.0 或 5.6.1 的系統,尤其是那些具有 systemd 和已修補 OpenSSH 的系統,容易受到攻擊。這包括使用易受攻擊元件的 Linux 發行版系統,如下所示:

在雲端中,在面向公眾的服務上運行受影響版本的執行個體會放大風險,因此需要立即更新以減輕漏洞。

雲端提供者可能擁有底層系統或基於這些易受攻擊版本提供服務,因此雲端用戶必須驗證和更新其實例或諮詢其提供者的建議至關重要。

從去混淆的腳本中可以看出,只有 Linux x86_64 的某些版本容易受到攻擊,因為該腳本旨在「決定」是否修改建置過程,如下所示:
微信图片_20240801113247
圖 1:此函數驗證目標作業系統是否為 x86-64 Linux。

漏洞時間軸中的重要里程碑
Evan Boehs提供了一個很好的時間軸摘要,總結了我們所看到的開源缺陷。

2021 年,Jia Tan (JiaT75) 首次加入 GitHub,並對 libarchive 進行了可疑提交,引發了最初的擔憂。到 2022 年 4 月,Tan 開始影響 XZ 項目,導致他首次提交並成為主要貢獻者。這段時期標誌著一個關鍵轉變,最終在 2024 年發現了與 xz-utils 相關的重大漏洞。這些里程碑強調了開源專案維護中的漏洞以及未經檢查的貢獻的影響。

此問題已分配CVE-2024-3094,甚至收到了CISA的警報。

技術資訊(我們目前所知)
Andres Freund 分享了一篇文章,其中他解釋了他如何發現複雜的 backdoor。 XZ-utils 中的惡意程式碼僅在軟體的「tarball」發行版中找到,這些發行版是打包的原始碼檔案。然而,在 GitHub 上的原始或上游原始碼中沒有發現它,這使得它更加隱密。 GitHub 產生的原始碼連結被認為是安全的,因為它們是從儲存庫本身自動建立的,沒有 tarball 中版本 5.6.0 和 5.6.1 中發現的惡意程式碼。

惡意程式碼注入並混淆了腳本,該腳本更改了 makefile,將損壞的測試檔案引入建置。
微信图片_20240801113553
圖 2:注入的腳本

然後,更改後的建置過程在編譯 liblzma 庫期間包含了惡意檔案。初始後門程式碼替換了某些用於校驗和計算的函數,特別是 crc32_resolve() 和 crc64_resolve()。

SSHD 會載入這些函式庫,攻擊者能夠繞過校驗和檢查並透過 SSH 連線存取伺服器。

補救措施
Fedora Linux 40 和 Rawhide

openSUSE

Kali Linux

Alpine

Debian(不穩定)

Arch

強烈建議使用者立即停止使用 xz-utils 壓縮工具並降級到 xz-5.4.x。請參閱以下連結以取得有關降級這些軟體包的說明。

根據您使用的發行版,您可以使用Aqua Trivy確認您不受此漏洞的影響。 Trivy 促進了對支援平台上漏洞的偵測,包括此漏洞。

此外,Aqua 的雲端原生應用程式平台 (CNAPP)確保了從開發到部署的強大安全性。它掃描程式碼、容器映像和雲端工作負載中的漏洞和錯誤配置,利用 Aqua Trivy 的進階功能。在部署前,它與 CI/CD 管道整合以建立嚴格的控制,僅允許經過審查的映像。

透過利用縱深防禦策略,您可以增強安全措施,以減輕工作負載中的漏洞並保護它們免受惡意活動的影響。

此外,您可以設定您的持續整合/持續部署 (CI/CD) 管道,以便在各種條件下終止建置流程。具體來說,此功能可用於防止將包含任何偵測到的漏洞的程式碼提升到生產環境中。

為了獲得對任何漏洞的更全面的保護,您可以利用我們先進的行為檢測功能。這些功能旨在廣泛使用,而不僅限於識別任何單一漏洞或事件。它們經過微調的靈敏度確保識別和防止惡意行為,從而允許即時攔截和阻止攻擊。

最後,這是一份已知受影響的 Linux 發行版、版本和補救步驟連結的清單:

Fedora Linux 40 and Rawhide

openSUSE

Kali Linux

Alpine

Debian (Unstable)

Arch

參考:

https://www.openwall.com/lists/oss-security/2024/03/29/4

https://github.com/byinarie/CVE-2024-3094-info

https://www.openwall.com/lists/oss-security/2024/03/29/4

https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094

Yara 規則由Florian Roth(Neo23x0)編寫。

在對我們的系統和映像進行徹底審查後,我們很高興地確認我們的產品和映像不受 CVE-2024-3094 漏洞的影響。

Tags: ,

Comments


Warning: count(): Parameter must be an array or an object that implements Countable in /var/www/html/wwwroot/itrenzheng.hk/wp-includes/class-wp-comment-query.php on line 399

Tell me what you're thinking...
and oh, if you want a pic to show with your comment, go get a gravatar!





CAPTCHA 驗證圖片
*