【事件描述修正】XZ Utilѕ 工具库恶意后门植入漏洞(CVE-2024-3094)安全风险通告
● 点击↑蓝字关注我们,获取更多安全风险通告
漏洞概述 | |||
漏洞名称 | XZ Utilѕ 工具库恶意后门植入漏洞 | ||
漏洞编号 | QVD-2024-11691,CVE-2024-3094 | ||
公开时间 | 2024-03-29 | 影响量级 | 万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 10.0 |
威胁类型 | 供应链攻击、后门 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 已发现 |
EXP状态 | 已公开 | 技术细节状态 | 部分公开 |
危害描述:3月29日有开发人员在安全邮件列表上发帖称,他在调查SSH性能问题时发现了涉及XZ包中的供应链攻击,进一步溯源发现SSH使用的上游liblzma库被植入了后门代码,当满足一定条件时,将会解密流量里的C2命令并执行。 存在后门的liblzma会主动劫持sshd got表内的RSA_public_decrypt函数到Llzma_index_prealloc (systemd为sshd添加依赖liblzma),之后在传递给RSA_public_decrypt的N值(公钥)中提取有效载荷,并对指纹进行校验,在Ed448签名验证之前,使用固定的ChaCha20密钥进行解密,满足条件后将执行C2命令。如果有效载荷格式错误或来自攻击者密钥的签名无法验证,后门将恢复到常规操作。 |
影响组件
XZ是一种高压缩比的数据压缩格式,由Tukaani项目开发,几乎存在于每个Linux发行版中,无论是社区项目还是商业产品发行版。它帮助将大文件格式压缩(然后解压缩)为更小、更易管理的大小,以便通过文件传输进行共享。liblzma是一个用于处理XZ压缩格式的开源软件库。
漏洞描述
事件经过
本次更新内容:
事件描述修正。
影响版本
xz == 5.6.0
其他受影响组件
使用了受影响版本XZ的操作系统或软件如openSUSE、Fedora 41、Liblzma、Debian非稳定的测试版 5.5.1alpha-0.1 到 5.6.1-1
详情可在此查询:
https://repology.org/project/xz/versions
处置建议
目前 GitHub 已经关停了整个xz项目。
| 操作系统 | 是否受影响 | 影响版本 | 官方公告 |
| Red Hat | 否 | https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users | |
| Fedora | 是 | Fedora 41 and Fedora Rawhide | https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users |
| Debian 所有稳定版 | 否 | https://security-tracker.debian.org/tracker/CVE-2024-3094 | |
| Debian testing, unstable and experimental distributions | 是 | 5.5.1alpha-0.1(于 2024 年 2 月 1 日上传)到 5.6.1-1 | https://lists.debian.org/debian-security-announce/2024/msg00057.html |
| Kali Linux | 是 | 在3月26日至3月29日期间更新过的任何Kali安装 | https://www.kali.org/blog/about-the-xz-backdoor/ |
| OpenSUSE | 是 | Tumbleweed snapshot <= 20240328 | https://news.opensuse.org/2024/03/29/xz-backdoor/ |
| Amazon Linux | 是 | ||
| Alpine | 是 | 5.6.0 5.6.0-r0 5.6.0-r1 5.6.1 5.6.1-r0 5.6.1-r1 | |
| MACOS HomeBrew x64 | 是 | ||
| MicroOS | 是 | 3月7日至3月28日期间发行 | |
| SUSE 全部版本 | 否 | https://www.suse.com/security/cve/CVE-2024-3094.html | |
| archlinux | 是 | https://security.archlinux.org/CVE-2024-3094 | |
| Alpine edge | 是 | https://pkgs.alpinelinux.org/package/edge/main/x86/xz |
可据此查看受影响的开源操作系统 https://repology.org/project/xz/versions
自查脚本:
#! /bin/bashset -eu# find path to liblzma used by sshdpath="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"
# does it even exist?if [ "$path" == "" ]then echo probably not vulnerable exitfi
# check for function signatureif hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410then echo probably vulnerableelse echo probably not vulnerablefi也可通过如下命令查看系统本地是否安装了受影响的XZ:
$ xz --version
xz (XZ Utils) 5.6.1
iblzma 5.6.1
目前官方尚无最新版本,需对软件版本进行降级5.4.X,请关注官方新版本发布并及时更新。
Fedora Linux 40 用户需 xz 回退到 5.4.x 版本可参考:
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://bodhi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266
测绘分析
奇安信天问xz/liblzma后门影响全网软件测绘分析
奇安信技术研究院[“天问”软件供应链安全监测平台]
(https://tianwen.qianxin.com/)利用积累的海量软件空间测绘数据,发现开源生态中的若干软件存在使用后门组件的情况,其他系统、软件和固件上暂未发现直接使用后门组件的情况。
具体地,我们的测绘分析发现crates.io中的liblzma-sys包使用了受后门影响的版本。对于其他软件以及固件,由于含有后门的两个版本的发布时间在2024年2月24日之后,目前尚未被多数软件使用,因此对现有软件的影响有限。但是,由于实际使用中历史版本的xz组件有可能升级到后门版本从而产生影响,因此,我们对xz组件的历史版本影响情况进行了全面测绘分析,以便相关人员和组织排查可能的风险,尽管这些版本没有受后门影响。
详情请见:https://mp.weixin.qq.com/s/RqK0Ps-AZeCzy_uCXzRQ1Q
| MD5 | 文件名 |
| 4f0cf1d2a2d44b75079b3ea5ed28fe54 | x86_64-linux-gnu-liblzma.so.5.6.0 |
| d26cefd934b33b174a795760fc79e6b5 | liblzma_la-crc64-fast-5.6.1.o |
| d302c6cb2fa1c03c710fa5285651530f | usr/lib/liblzma.so.5 |
| 212ffa0b24bb7d749532425a46764433 | 00000001.liblzma_la-crc64-fast.o |
| 53d82bb511b71a5d4794cf2d8a2072c1 | liblzma.so.5.6.1 |
| 35028f4b5c6673d6f2e1a80f02944fb2 | bad-3-corrupt_lzma2.xz |
| 9b6c6e37b84614179a56d03da9585872 | bad-3-corrupt_lzma2.xz |
| 540c665dfcd4e5cfba5b72b4787fec4f | good-large_compressed.lzma |
| 89e11f41c5afcf6c641b19230dc5cdea | good-large_compressed.lzma |
[1]https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users[2]https://www.openwall.com/lists/oss-security/2024/03/29/10 [3]https://repology.org/project/xz/versions[4]https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094 [5]https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/[6]https://github.com/byinarie/CVE-2024-3094-info
2024年3月31日,奇安信 CERT发布安全风险通告。
点击↓阅读原文,到ALPHA威胁分析平台订阅更多漏洞信息。