🔥 热搜 🔥
1123456法明传[2024]173号中共中央写小说赵紫阳中美友好合作故事妈 分享 回南京李志起源 解读 龚
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
1123456法明传[2024]173号中共中央写小说赵紫阳中美友好合作故事妈 分享 回南京李志起源 解读 龚
分类
社会娱乐国际人权科技经济其它
查看原文
其他

【事件描述修正】XZ Utilѕ 工具库恶意后门植入漏洞(CVE-2024-3094)安全风险通告

奇安信 CERT 2024-04-07

● 点击↑蓝字关注我们,获取更多安全风险通告

漏洞概述

漏洞名称

XZ Utilѕ 工具库恶意后门植入漏洞

漏洞编号

QVD-2024-11691,CVE-2024-3094

公开时间

2024-03-29

影响量级

万级

奇安信评级

高危

CVSS 3.1分数

10.0

威胁类型

供应链攻击、后门

利用可能性

POC状态

已公开

在野利用状态

已发现

EXP状态

已公开

技术细节状态

部分公开

危害描述:3月29日有开发人员在安全邮件列表上发帖称,他在调查SSH性能问题时发现了涉及XZ包中的供应链攻击,进一步溯源发现SSH使用的上游liblzma库被植入了后门代码,当满足一定条件时,将会解密流量里的C2命令并执行。

存在后门的liblzma会主动劫持sshd got表内的RSA_public_decrypt函数到Llzma_index_prealloc (systemd为sshd添加依赖liblzma),之后在传递给RSA_public_decrypt的N值(公钥)中提取有效载荷,并对指纹进行校验,在Ed448签名验证之前,使用固定的ChaCha20密钥进行解密,满足条件后将执行C2命令。如果有效载荷格式错误或来自攻击者密钥的签名无法验证,后门将恢复到常规操作。


01漏洞详情
>>>>

影响组件

XZ是一种高压缩比的数据压缩格式,由Tukaani项目开发,几乎存在于每个Linux发行版中,无论是社区项目还是商业产品发行版。它帮助将大文件格式压缩(然后解压缩)为更小、更易管理的大小,以便通过文件传输进行共享。liblzma是一个用于处理XZ压缩格式的开源软件库。


>>>>

漏洞描述

近日,奇安信CERT监测到XZ Utilѕ工具库恶意后门植入漏洞(CVE-2024-3094),3月29日有开发人员在安全邮件列表上发帖称,他在调查SSH性能问题时发现了涉及XZ包中的供应链攻击,进一步溯源发现SSH使用的上游liblzma库被植入了后门代码,当满足一定条件时,将会解密流量里的C2命令并执行。目前,企业使用的主流Linux发行版(Red Hat/CentOS/Debian/Ubuntu)的Stable稳定版仓库中尚未合并该存在后门的软件版本鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。


>>>>

事件经过

2021年,Jia Tan 创建GitHub账户。之后积极参与 XZ Utils 项目的维护,并逐渐获取信任,获得了直接 commit 代码的权利。2024年2月,Jia tan向 liblzma / xz项目中提交恶意文件。2024年3月28日,Ubuntu注意到一个上游的漏洞影响了xz-utils源代码包。2024年3月29日,微软PostgreSQL开发人员Andres Freund在调试SSH性能问题时,在开源安全邮件列表中称,他在xz软件包中发现了一个涉及混淆恶意代码的供应链攻击。目前 GitHub 已经关停了整个xz项目。


本次更新内容: 

事件描述修正。



02影响范围
>>>>

影响版本

xz == 5.6.0 

xz == 5.6.1
liblzma== 5.6.0 
liblzma== 5.6.1


>>>>

其他受影响组件

使用了受影响版本XZ的操作系统或软件如openSUSE、Fedora 41、Liblzma、Debian非稳定的测试版 5.5.1alpha-0.1 到 5.6.1-1

详情可在此查询:

https://repology.org/project/xz/versions



03验证及处置建议
>>>>

处置建议

目前 GitHub 已经关停了整个xz项目。

操作系统是否受影响影响版本官方公告
Red Hat
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
FedoraFedora 41 and Fedora Rawhidehttps://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
Debian 所有稳定版
https://security-tracker.debian.org/tracker/CVE-2024-3094
Debian testing,
unstable and
experimental
distributions		5.5.1alpha-0.1(于 2024 年 2 月 1 日上传)到 5.6.1-1https://lists.debian.org/debian-security-announce/2024/msg00057.html
Kali Linux在3月26日至3月29日期间更新过的任何Kali安装https://www.kali.org/blog/about-the-xz-backdoor/
OpenSUSETumbleweed snapshot <= 20240328https://news.opensuse.org/2024/03/29/xz-backdoor/
Amazon Linux

Alpine5.6.0
5.6.0-r0
5.6.0-r1
5.6.1
5.6.1-r0
5.6.1-r1
MACOS
HomeBrew x64

MicroOS3月7日至3月28日期间发行
SUSE 
全部版本
https://www.suse.com/security/cve/CVE-2024-3094.html
archlinux
https://security.archlinux.org/CVE-2024-3094
Alpine edge
https://pkgs.alpinelinux.org/package/edge/main/x86/xz

可据此查看受影响的开源操作系统 https://repology.org/project/xz/versions

自查脚本:

#! /bin/bashset -eu# find path to liblzma used by sshdpath="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"

# does it even exist?if [ "$path" == "" ]then echo probably not vulnerable exitfi

# check for function signatureif hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410then echo probably vulnerableelse echo probably not vulnerablefi

也可通过如下命令查看系统本地是否安装了受影响的XZ:

$ xz --version

xz (XZ Utils) 5.6.1

iblzma 5.6.1


目前官方尚无最新版本,需对软件版本进行降级5.4.X,请关注官方新版本发布并及时更新。

Fedora Linux 40 用户需 xz 回退到 5.4.x 版本可参考:

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

https://bodhi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266


>>>>

测绘分析

奇安信天问xz/liblzma后门影响全网软件测绘分析

奇安信技术研究院[“天问”软件供应链安全监测平台]

(https://tianwen.qianxin.com/)利用积累的海量软件空间测绘数据,发现开源生态中的若干软件存在使用后门组件的情况,其他系统、软件和固件上暂未发现直接使用后门组件的情况。

具体地,我们的测绘分析发现crates.io中的liblzma-sys包使用了受后门影响的版本。对于其他软件以及固件,由于含有后门的两个版本的发布时间在2024年2月24日之后,目前尚未被多数软件使用,因此对现有软件的影响有限。但是,由于实际使用中历史版本的xz组件有可能升级到后门版本从而产生影响,因此,我们对xz组件的历史版本影响情况进行了全面测绘分析,以便相关人员和组织排查可能的风险,尽管这些版本没有受后门影响。

详情请见:https://mp.weixin.qq.com/s/RqK0Ps-AZeCzy_uCXzRQ1Q


04部分IOC目前,奇安信CERT已发现部分IOC,如下所示:
MD5文件名
4f0cf1d2a2d44b75079b3ea5ed28fe54x86_64-linux-gnu-liblzma.so.5.6.0
d26cefd934b33b174a795760fc79e6b5liblzma_la-crc64-fast-5.6.1.o
d302c6cb2fa1c03c710fa5285651530fusr/lib/liblzma.so.5
212ffa0b24bb7d749532425a4676443300000001.liblzma_la-crc64-fast.o
53d82bb511b71a5d4794cf2d8a2072c1liblzma.so.5.6.1
35028f4b5c6673d6f2e1a80f02944fb2bad-3-corrupt_lzma2.xz
9b6c6e37b84614179a56d03da9585872bad-3-corrupt_lzma2.xz
540c665dfcd4e5cfba5b72b4787fec4fgood-large_compressed.lzma
89e11f41c5afcf6c641b19230dc5cdeagood-large_compressed.lzma


05参考资料

[1]https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users[2]https://www.openwall.com/lists/oss-security/2024/03/29/10 [3]https://repology.org/project/xz/versions[4]https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094 [5]https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/[6]https://github.com/byinarie/CVE-2024-3094-info



06时间线

2024年3月31日,奇安信 CERT发布安全风险通告。



07漏洞情报服务
奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务:




奇安信 CERT致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

















点击↓阅读原文,到ALPHA威胁分析平台订阅更多漏洞信息。

继续滑动看下一个
奇安信 CERT
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存