XZ Utilѕ 工具库恶意后门植入漏洞(CVE-2024-3094)安全风险通告
2024-3-31 21:47:13 Author: mp.weixin.qq.com(查看原文) 阅读量:10 收藏

● 点击↑蓝字关注我们,获取更多安全风险通告

漏洞概述

漏洞名称

XZ Utilѕ 工具库恶意后门植入漏洞

漏洞编号

QVD-2024-11691,CVE-2024-3094

公开时间

2024-03-29

影响量级

万级

奇安信评级

高危

CVSS 3.1分数

10.0

威胁类型

供应链攻击、后门

利用可能性

POC状态

未公开

在野利用状态

未知

EXP状态

未公开

技术细节状态

部分公开

危害描述:恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。恶意代码修改了liblzma代码中的函数,该代码是XZ Utils软件包的一部分,链接到 XZ 库的任何软件都可以使用此修改后的代码,并允许拦截和修改与该库一起使用的数据。

01
漏洞详情
>>>>

影响组件

XZ是一种高压缩比的数据压缩格式,由Tukaani项目开发,几乎存在于每个Linux发行版中,无论是社区项目还是商业产品发行版。它帮助将大文件格式压缩(然后解压缩)为更小、更易管理的大小,以便通过文件传输进行共享。liblzma是一个用于处理XZ压缩格式的开源软件库。

>>>>

漏洞描述

近日,奇安信CERT监测到XZ Utilѕ 工具库恶意后门植入漏洞(CVE-2024-3094),3月29日有开发人员在安全邮件列表上发帖称,他在调查SSH性能问题时发现了涉及XZ包中的供应链攻击,进一步溯源发现SSH使用的上游liblzma库被植入了后门代码,恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。恶意代码修改了liblzma代码中的函数,该代码是XZ Utils软件包的一部分,链接到 XZ 库的任何软件都可以使用此修改后的代码,并允许拦截和修改与该库一起使用的数据。

鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。

本次更新内容: 

新增部分IOC。

02
影响范围
>>>>

影响版本

xz == 5.6.0 

xz == 5.6.1
liblzma== 5.6.0 
liblzma== 5.6.1
>>>>

其他受影响组件

使用了受影响版本XZ的操作系统或软件如openSUSE、Fedora 41、Liblzma、Debian非稳定的测试版 5.5.1alpha-0.1 到 5.6.1-1

详情可在此查询:

https://repology.org/project/xz/versions

03
验证及处置建议
>>>>

处置建议

目前 GitHub 已经关停了整个xz项目。

操作系统是否受影响影响版本官方公告
Red Hat
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
FedoraFedora 41 and Fedora Rawhidehttps://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
Debian 所有稳定版
https://security-tracker.debian.org/tracker/CVE-2024-3094
Debian testing,
unstable and
experimental
distributions
5.5.1alpha-0.1(于 2024 年 2 月 1 日上传)到 5.6.1-1https://lists.debian.org/debian-security-announce/2024/msg00057.html
Kali Linux在3月26日至3月29日期间更新过的任何Kali安装https://www.kali.org/blog/about-the-xz-backdoor/
OpenSUSETumbleweed snapshot <= 20240328https://news.opensuse.org/2024/03/29/xz-backdoor/
Amazon Linux

Alpine5.6.0
5.6.0-r0
5.6.0-r1
5.6.1
5.6.1-r0
5.6.1-r1

MACOS
HomeBrew x64


MicroOS3月7日至3月28日期间发行
SUSE 
全部版本

https://www.suse.com/security/cve/CVE-2024-3094.html
archlinux
https://security.archlinux.org/CVE-2024-3094
Alpine edge
https://pkgs.alpinelinux.org/package/edge/main/x86/xz
可据此查看受影响的开源操作系统 https://repology.org/project/xz/versions

自查脚本:

#! /bin/bash

set -eu

# find path to liblzma used by sshd

path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"

# does it even exist?

if [ "$path" == "" ]

then

  echo probably not vulnerable

  exit

fi

# check for function signature

if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410

then

  echo probably vulnerable

else

  echo probably not vulnerable

fi

也可通过如下命令查看系统本地是否安装了受影响的XZ:

$ xz --version

xz (XZ Utils) 5.6.1

iblzma 5.6.1

目前官方尚无最新版本,需对软件版本进行降级5.4.X,请关注官方新版本发布并及时更新。

Fedora Linux 40 用户需 xz 回退到 5.4.x 版本可参考:

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

https://bodhi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266

04
部分IOC
目前,奇安信CERT已发现部分IOC,如下所示:
MD5文件名
4f0cf1d2a2d44b75079b3ea5ed28fe54x86_64-linux-gnu-liblzma.so.5.6.0
d26cefd934b33b174a795760fc79e6b5liblzma_la-crc64-fast-5.6.1.o
d302c6cb2fa1c03c710fa5285651530fusr/lib/liblzma.so.5
212ffa0b24bb7d749532425a4676443300000001.liblzma_la-crc64-fast.o
53d82bb511b71a5d4794cf2d8a2072c1liblzma.so.5.6.1
35028f4b5c6673d6f2e1a80f02944fb2bad-3-corrupt_lzma2.xz
9b6c6e37b84614179a56d03da9585872bad-3-corrupt_lzma2.xz
540c665dfcd4e5cfba5b72b4787fec4fgood-large_compressed.lzma
89e11f41c5afcf6c641b19230dc5cdeagood-large_compressed.lzma
05
参考资料
[1]https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
[2]https://www.openwall.com/lists/oss-security/2024/03/29/10 
[3]https://repology.org/project/xz/versions
[4]https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094 
[5]https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/
[6]https://github.com/byinarie/CVE-2024-3094-info
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

在线阅读版:《2023中国软件供应链安全分析报告》全文

奇安信入选全球《软件成分分析全景图》代表厂商

开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞

Linux 恶意软件攻击配置不当的云服务器

WiFi漏洞导致安卓和Linux设备易受攻击

Linux glibc 漏洞可导致攻击者在主要发行版本获得 root 权限

PyPI 仓库存在116款恶意软件,瞄准 Windows 和 Linux 系统

严重的蓝牙漏洞已存在多年,可用于接管安卓、iOS 和 Linux 设备

转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519193&idx=1&sn=14b16d44e50babd5dd2fa00c4bd1bffd&chksm=ea94bab3dde333a5237dd2a4baa86ecd6631b7e93c38bbedc8aab4361d98b59fce7f7f6b4e15&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh