【正在深入调查】XZ Utils供应链投毒事件的真实影响：可能并不严重？

XZ Utils（之前称为LZMA Utils）是一套用于类Unix操作系统的免费软件命令行无损数据压缩工具集。

2024年3月，在XZ Utils的5.6版本分发中发现了一个后门。

目前，在企业使用的主流Linux发行版（Red Hat/CentOS/Debian/Ubuntu）的Stable稳定版仓库中尚未合并该存在后门的软件版本，企业内部可根据实际情况判断事件影响。

截至本文发出，长亭安全应急响应中心仍在分析与确认事件细节与事件影响，如后续有变更，将第一时间更新。

事件描述

 Description 

0****1

事件来源

2024年3月29日，在Openwall安全邮件列表上发布了一个帖子，提示liblzma的代码可能被篡改，而liblzma 是 XZ Utils 的一个核心组成部分。

在该帖子中，作者（Andres Freund）指出，有一些用于测试的tarballs被添加到了代码中，但最终却被用于通过对配置脚本的添加来设置后门。该问题被记录在CVE-2024-3094下，这个CVE ID是在公开漏洞后由Red Hat发出的。恶意代码已知存在于5.6.0和5.6.1版本中。

事件影响

根据Red Hat的通告：

在适当的情况下，这种干扰可能使攻击者有机会破坏sshd认证，并远程获取对整个系统的未授权访问权限。

利用条件

 Conditions 

02

根据Openwall帖子：

• TERM环境变量未设置

• argv[0] 需要设置为 /usr/sbin/sshd

• LD_DEBUG, LD_PROFILE 未设置

• 需要设置LANG

影响范围

 Affects 

03

XZ Utils == 5.6.0

XZ Utils == 5.6.1

Linux发行版

 Version 

04

截止目前，已知以下 Linux 发行版受影响：

发行版

安全公告

Fedora 41

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

Fedora Rawhide（开发版）

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

Debian sid, trixie（不稳定版）

https://security-tracker.debian.org/tracker/CVE-2024-3094

archlinux

https://security.archlinux.org/CVE-2024-3094

截止目前，已知以下 Linux 发行版不受影响：

发行版

安全公告

Fedora 40

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

RedHat 全部版本

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

Debian 所有稳定版

https://security-tracker.debian.org/tracker/CVE-2024-3094

SUSE 全部版本

https://www.suse.com/security/cve/CVE-2024-3094.html

排查方案

 Troubleshooting 

05

1/长亭工具排查

牧云本地检测方案

检测方法

下载本地专项检测工具，下载后运行适合操作系统和 CPU 架构的版本，如：

xz_cve_2024_3094_scanner_linux_amd64 scan

若输出结果包含“是否存在漏洞：是”或“VulnFound: true”则说明存在后门。

工具获取方式

https://stack.chaitin.com/tool/detail/1286

2/查询版本

xz --version

查看结果是否为5.6.0或5.6.1

3/自查脚本**（来自Openwall帖子原作者）**

#! /bin/bash

解决方案

 Solution 

06

官方已发布更新，更新至最新版本5.6.4。

产品支持

 Support 

07

牧云主机安全管理平台支持筛选存在后门的工具版本。

在“牧云主机安全管理平台”-“资产清点”-“软件”中按“软件”搜索“xz”，如下图所示：

搜索结果如下图所示：

再按“版本号”搜索“5.6.0”和“5.6.1”，如下图所示：

时间线

 Timeline 

08

3月29日 互联网公开供应链投毒情报

3月30日 长亭安全应急响应中心发布通告

参考资料：

[1].https://www.openwall.com/lists/oss-security/2024/03/29/4

长亭应急响应服务

全力进行产品升级

及时将风险提示预案发送给客户

检测业务是否收到此次漏洞影响

请联系长亭应急团队

7*24小时，守护您的安全

第一时间找到我们：

邮箱：support@chaitin.com

应急响应热线：4000-327-707