井底圈小蛙
关注科技圈

黑客潜伏两年后向XZ Utils库中添加秘密后门,影响多个Linux发行版

Red Hat公司周五发布了“紧急安全警报”,警告称流行的数据压缩库XZ Utils(以前称为 LZMA Utils)的两个版本已被恶意代码植入后门,旨在允许未经授权的远程访问。

软件供应链妥协的编号为CVE-2024-3094,CVSS 评分为 10.0,表明严重程度最高。它影响 XZ Utils 版本 5.6.0(2 月 24 日发布)和 5.6.1(3 月 9 日发布)。

IBM 子公司在一份公告中表示: “通过一系列复杂的混淆,liblzma 构建过程从源代码中存在的伪装测试文件中提取预构建的目标文件,然后用于修改 liblzma 代码中的特定功能。”

“这会产生一个修改后的 liblzma 库,任何与该库链接的软件都可以使用该库,拦截并修改与该库的数据交互。”

具体来说,代码中包含的恶意代码旨在通过systemd软件套件干扰 SSH(安全 Shell)的 sshd 守护进程,并可能使威胁参与者能够破坏 sshd 身份验证并在“以下情况下”远程获得对系统的未经授权的访问:正确的情况。”

JFrog说:“CVE-2024-3094 引入的恶意后门的最终目标是将代码注入到受害计算机上运行的 OpenSSH 服务器 (SSHD),并允许特定的远程攻击者(拥有特定的私钥)发送任意代码。通过 SSH 发送有效负载,该负载将在身份验证步骤之前执行,从而有效地劫持整个受害计算机。 ”

微软工程师兼 PostgreSQL 开发人员 Andres Freund 被认为在周五发现并报告了该问题。据说,经过严重混淆的恶意代码是由一位名叫 Jia Tan (JiaT75) 的用户通过向 GitHub 上的Tukaani项目提交的一系列源代码引入的。

“鉴于活动持续了数周,提交者要么直接参与其中,要么他们的系统受到了一些相当严重的损害,”Freund说。 “不幸的是,考虑到他们在各种列表上就‘修复’进行了沟通,后者看起来不太可能是解释。”

微软旗下的 GitHub 此后禁用了 Tukaani 项目维护的 XZ Utils 存储库,“因为违反了 GitHub 的服务条款”。目前还没有关于在野外进行积极利用的报道。

有证据表明,这些软件包仅存在于 Fedora 41 和 Fedora Rawhide 中,并且不会影响Alpine LinuxAmazon Linux、 Debian Stable 、Gentoo LinuxLinux Mint、 Red Hat Enterprise Linux (RHEL) 、 SUSE Linux Enterprise 和 Leap 等发行版,和Ubuntu

出于谨慎考虑,建议 Fedora Linux 40 用户降级到 5.4 版本。受供应链攻击影响的其他一些 Linux 发行版如下:

这一进展促使美国网络安全和基础设施安全局(CISA)发布了自己的警报,敦促用户将XZ Utils降级到未受影响的版本(例如,XZ Utils 5.4.6 Stable)。

圈小蛙现已开通Telegram。单击此处加入我们的频道 (@quanxiaowa)并随时了解最新科技圈动态!

除特别注明外,本站所有文章均系根据各大境内外消息渠道原创,转载请注明出处。
文章名称:《黑客潜伏两年后向XZ Utils库中添加秘密后门,影响多个Linux发行版》
文章链接:https://www.qxwa.com/hackers-add-secret-backdoor-to-xz-utils-library-after-two-years-of-lurking-affecting-multiple-linux-distributions.html
分享到: 生成海报

评论 抢沙发

科技圈动态,尽在圈小蛙

联系我们关注我们