赞
踩
● 点击↑蓝字关注我们,获取更多安全风险通告
漏洞概述 | |||
漏洞名称 | XZ Utilѕ 工具库恶意后门植入漏洞 | ||
漏洞编号 | QVD-2024-11691,CVE-2024-3094 | ||
公开时间 | 2024-03-29 | 影响量级 | 万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 10.0 |
威胁类型 | 供应链攻击、后门 | 利用可能性 | 高 |
POC状态 | 未公开 | 在野利用状态 | 未知 |
EXP状态 | 未公开 | 技术细节状态 | 部分公开 |
危害描述:恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。恶意代码修改了liblzma代码中的函数,该代码是XZ Utils软件包的一部分,链接到 XZ 库的任何软件都可以使用此修改后的代码,并允许拦截和修改与该库一起使用的数据。 |
01
漏洞详情
>>>>
影响组件
XZ是一种高压缩比的数据压缩格式,由Tukaani项目开发,几乎存在于每个Linux发行版中,无论是社区项目还是商业产品发行版。它帮助将大文件格式压缩(然后解压缩)为更小、更易管理的大小,以便通过文件传输进行共享。liblzma是一个用于处理XZ压缩格式的开源软件库。
>>>>
漏洞描述
近日,奇安信CERT监测到XZ Utilѕ 工具库恶意后门植入漏洞(CVE-2024-3094),3月29日有开发人员在安全邮件列表上发帖称,他在调查SSH性能问题时发现了涉及XZ包中的供应链攻击,进一步溯源发现SSH使用的上游liblzma库被植入了后门代码,恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。恶意代码修改了liblzma代码中的函数,该代码是XZ Utils软件包的一部分,链接到 XZ 库的任何软件都可以使用此修改后的代码,并允许拦截和修改与该库一起使用的数据。
鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
本次更新内容:
新增部分IOC。
02
影响范围
>>>>
影响版本
xz == 5.6.0
xz == 5.6.1
liblzma== 5.6.0
liblzma== 5.6.1
>>>>
其他受影响组件
使用了受影响版本XZ的操作系统或软件如openSUSE、Fedora 41、Liblzma、Debian非稳定的测试版 5.5.1alpha-0.1 到 5.6.1-1
详情可在此查询:
https://repology.org/project/xz/versions
03
验证及处置建议
>>>>
处置建议
目前 GitHub 已经关停了整个xz项目。
操作系统 | 是否受影响 | 影响版本 | 官方公告 |
Red Hat | 否 | https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users | |
Fedora | 是 | Fedora 41 and Fedora Rawhide | https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users |
Debian 所有稳定版 | 否 | https://security-tracker.debian.org/tracker/CVE-2024-3094 | |
Debian testing, unstable and experimental distributions | 是 | 5.5.1alpha-0.1(于 2024 年 2 月 1 日上传)到 5.6.1-1 | https://lists.debian.org/debian-security-announce/2024/msg00057.html |
Kali Linux | 是 | 在3月26日至3月29日期间更新过的任何Kali安装 | https://www.kali.org/blog/about-the-xz-backdoor/ |
OpenSUSE | 是 | Tumbleweed snapshot <= 20240328 | https://news.opensuse.org/2024/03/29/xz-backdoor/ |
Amazon Linux | 是 | ||
Alpine | 是 | 5.6.0 5.6.0-r0 5.6.0-r1 5.6.1 5.6.1-r0 5.6.1-r1 | |
MACOS HomeBrew x64 | 是 | ||
MicroOS | 是 | 3月7日至3月28日期间发行 | |
SUSE 全部版本 | 否 | https://www.suse.com/security/cve/CVE-2024-3094.html | |
archlinux | 是 | https://security.archlinux.org/CVE-2024-3094 | |
Alpine edge | 是 | https://pkgs.alpinelinux.org/package/edge/main/x86/xz |
自查脚本:
#! /bin/bash
set -eu
# find path to liblzma used by sshd
path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"
# does it even exist?
if [ "$path" == "" ]
then
echo probably not vulnerable
exit
fi
# check for function signature
if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
then
echo probably vulnerable
else
echo probably not vulnerable
fi
也可通过如下命令查看系统本地是否安装了受影响的XZ:
$ xz --version
xz (XZ Utils) 5.6.1
iblzma 5.6.1
目前官方尚无最新版本,需对软件版本进行降级5.4.X,请关注官方新版本发布并及时更新。
Fedora Linux 40 用户需 xz 回退到 5.4.x 版本可参考:
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://bodhi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266
04
部分IOC
目前,奇安信CERT已发现部分IOC,如下所示:
MD5 | 文件名 |
4f0cf1d2a2d44b75079b3ea5ed28fe54 | x86_64-linux-gnu-liblzma.so.5.6.0 |
d26cefd934b33b174a795760fc79e6b5 | liblzma_la-crc64-fast-5.6.1.o |
d302c6cb2fa1c03c710fa5285651530f | usr/lib/liblzma.so.5 |
212ffa0b24bb7d749532425a46764433 | 00000001.liblzma_la-crc64-fast.o |
53d82bb511b71a5d4794cf2d8a2072c1 | liblzma.so.5.6.1 |
35028f4b5c6673d6f2e1a80f02944fb2 | bad-3-corrupt_lzma2.xz |
9b6c6e37b84614179a56d03da9585872 | bad-3-corrupt_lzma2.xz |
540c665dfcd4e5cfba5b72b4787fec4f | good-large_compressed.lzma |
89e11f41c5afcf6c641b19230dc5cdea | good-large_compressed.lzma |
05
参考资料
[1]https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
[2]https://www.openwall.com/lists/oss-security/2024/03/29/10
[3]https://repology.org/project/xz/versions
[4]https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
[5]https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/
[6]https://github.com/byinarie/CVE-2024-3094-info
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞
Linux glibc 漏洞可导致攻击者在主要发行版本获得 root 权限
PyPI 仓库存在116款恶意软件,瞄准 Windows 和 Linux 系统
严重的蓝牙漏洞已存在多年,可用于接管安卓、iOS 和 Linux 设备
转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。