FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

后门镜像持续扩散

最新研究显示，在XZ Utils后门事件曝光一年多后，Docker Hub上仍存在包含该恶意代码的镜像。更令人担忧的是，其他镜像基于这些受感染的基础镜像构建，导致后门以传递方式进一步扩散。据Binarly REsearch向The Hacker News提供的报告显示，这家固件安全公司共发现35个携带后门的镜像，再次凸显软件供应链面临的风险。

后门技术细节

XZ Utils供应链事件（CVE-2024-3094，CVSS评分：10.0）于2024年3月下旬曝光，当时Andres Freund发现XZ Utils 5.6.0和5.6.1版本中植入了后门。深入分析恶意代码后发现，该后门可导致未经授权的远程访问，并通过SSH执行任意有效载荷。

Binarly解释称："后门被植入liblzma.so库（OpenSSH服务器使用该库），当客户端与受感染的SSH服务器交互时触发。通过利用glibc的IFUNC机制劫持RSA_public_decrypt函数，攻击者持有特定私钥即可绕过身份验证远程执行root命令。"

精心策划的攻击

第二个发现是，这些变更由名为"Jia Tan"（JiaT75）的开发者提交。该攻击者花费近两年时间参与开源项目以建立信任，最终获得维护者权限，显示出攻击的周密性。Binarly当时指出："这显然是一起非常复杂的国家级行动，具有令人印象深刻的精密性和多年规划。如此复杂且专业设计的植入框架不可能仅用于一次性攻击。"

持续影响与应对

该公司最新研究表明，该事件的影响仍在开源生态系统中持续发酵。研究人员发现12个包含XZ Utils后门的Debian Docker镜像，以及另一组包含受感染Debian镜像的次级镜像。

Binarly已向Debian维护者报告这些基础镜像，维护者表示"有意保留这些文件作为历史记录，特别是考虑到实际利用需要满足极不可能（在容器/容器镜像使用场景中）的条件"。但该公司指出，尽管成功利用需要满足特定条件（需通过网络访问运行SSH服务的受感染设备），公开提供包含潜在网络可达后门的Docker镜像仍存在重大安全风险。

报告补充道："xz-utils后门事件表明，即使是短暂存在的恶意代码，也可能在官方容器镜像中长期未被发现，并在Docker生态系统中传播。这种延迟凸显了这些文件可能通过CI管道和容器生态系统悄无声息地持续存在和传播，强调除了简单的版本跟踪外，持续进行二进制级监控至关重要。"

参考来源：

Researchers Spot XZ Utils Backdoor in Dozens of Docker Hub Images, Fueling Supply Chain Risks

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）