Red Hat公司周五发布了“紧急安全警报”,警告称流行的数据压缩库XZ Utils(以前称为 LZMA Utils)的两个版本已被恶意代码植入后门,旨在允许未经授权的远程访问。
软件供应链妥协的编号为CVE-2024-3094,CVSS 评分为 10.0,表明严重程度最高。它影响 XZ Utils 版本 5.6.0(2 月 24 日发布)和 5.6.1(3 月 9 日发布)。
IBM 子公司在一份公告中表示: “通过一系列复杂的混淆,liblzma 构建过程从源代码中存在的伪装测试文件中提取预构建的目标文件,然后用于修改 liblzma 代码中的特定功能。”
“这会产生一个修改后的 liblzma 库,任何与该库链接的软件都可以使用该库,拦截并修改与该库的数据交互。”
具体来说,代码中包含的恶意代码旨在通过systemd软件套件干扰 SSH(安全 Shell)的 sshd 守护进程,并可能使威胁参与者能够破坏 sshd 身份验证并在“以下情况下”远程获得对系统的未经授权的访问:正确的情况。”
JFrog说:“CVE-2024-3094 引入的恶意后门的最终目标是将代码注入到受害计算机上运行的 OpenSSH 服务器 (SSHD),并允许特定的远程攻击者(拥有特定的私钥)发送任意代码。通过 SSH 发送有效负载,该负载将在身份验证步骤之前执行,从而有效地劫持整个受害计算机。 ”
微软工程师兼 PostgreSQL 开发人员 Andres Freund 被认为在周五发现并报告了该问题。据说,经过严重混淆的恶意代码是由一位名叫 Jia Tan (JiaT75) 的用户通过向 GitHub 上的Tukaani项目提交的一系列源代码引入的。
“鉴于活动持续了数周,提交者要么直接参与其中,要么他们的系统受到了一些相当严重的损害,”Freund说。 “不幸的是,考虑到他们在各种列表上就‘修复’进行了沟通,后者看起来不太可能是解释。”
微软旗下的 GitHub 此后禁用了 Tukaani 项目维护的 XZ Utils 存储库,“因为违反了 GitHub 的服务条款”。目前还没有关于在野外进行积极利用的报道。
有证据表明,这些软件包仅存在于 Fedora 41 和 Fedora Rawhide 中,并且不会影响Alpine Linux、Amazon Linux、 Debian Stable 、Gentoo Linux、Linux Mint、 Red Hat Enterprise Linux (RHEL) 、 SUSE Linux Enterprise 和 Leap 等发行版,和Ubuntu。
出于谨慎考虑,建议 Fedora Linux 40 用户降级到 5.4 版本。受供应链攻击影响的其他一些 Linux 发行版如下:
- Arch Linux(安装介质 2024.03.01、虚拟机映像 20240301.218094 和 20240315.221711,以及在 2024 年 2 月 24 日和 2024 年 3 月 28 日(含)之间创建的容器映像)
- Kali Linux(3 月 26 日至 29 日)
- openSUSE Tumbleweed 和 openSUSE MicroOS(3 月 7 日至 28 日期间)
- Debian 测试、不稳定和实验版本(从 5.5.1alpha-0.1 到 5.6.1-1)
这一进展促使美国网络安全和基础设施安全局(CISA)发布了自己的警报,敦促用户将XZ Utils降级到未受影响的版本(例如,XZ Utils 5.4.6 Stable)。