长亭百川云 - 文章详情

长亭百川云

技术讨论漏洞库IP 威胁情报在线工具

【正在深入调查】XZ Utils供应链投毒事件的真实影响:可能并不严重?

长亭安全应急响应中心

68

2024-07-13

原文链接

XZ Utils(之前称为LZMA Utils)是一套用于类Unix操作系统的免费软件命令行无损数据压缩工具集。

2024年3月,在XZ Utils的5.6版本分发中发现了一个后门。

目前,在企业使用的主流Linux发行版(Red Hat/CentOS/Debian/Ubuntu)的Stable稳定版仓库中尚未合并该存在后门的软件版本,企业内部可根据实际情况判断事件影响。

截至本文发出,长亭安全应急响应中心仍在分析与确认事件细节与事件影响,如后续有变更,将第一时间更新。

事件描述

 Description 

0****1

事件来源

2024年3月29日,在Openwall安全邮件列表上发布了一个帖子,提示liblzma的代码可能被篡改,而liblzma 是 XZ Utils 的一个核心组成部分。

在该帖子中,作者(Andres Freund)指出,有一些用于测试的tarballs被添加到了代码中,但最终却被用于通过对配置脚本的添加来设置后门。该问题被记录在CVE-2024-3094下,这个CVE ID是在公开漏洞后由Red Hat发出的。恶意代码已知存在于5.6.0和5.6.1版本中。

事件影响

根据Red Hat的通告:

在适当的情况下,这种干扰可能使攻击者有机会破坏sshd认证,并远程获取对整个系统的未授权访问权限。

利用条件

 Conditions 

02

根据Openwall帖子:

  • TERM环境变量未设置

  • argv[0] 需要设置为 /usr/sbin/sshd

  • LD_DEBUG, LD_PROFILE 未设置

  • 需要设置LANG

影响范围

 Affects 

03

XZ Utils == 5.6.0

XZ Utils == 5.6.1

Linux发行版

 Version 

04

截止目前,已知以下 Linux 发行版受影响:

发行版

安全公告

Fedora 41

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

Fedora Rawhide(开发版)

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

Debian sid, trixie(不稳定版)

https://security-tracker.debian.org/tracker/CVE-2024-3094

archlinux

https://security.archlinux.org/CVE-2024-3094

截止目前,已知以下 Linux 发行版不受影响:

发行版

安全公告

Fedora 40

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

RedHat 全部版本

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

Debian 所有稳定版

https://security-tracker.debian.org/tracker/CVE-2024-3094

SUSE 全部版本

https://www.suse.com/security/cve/CVE-2024-3094.html

排查方案

 Troubleshooting 

05

1/长亭工具排查

牧云本地检测方案

检测方法

下载本地专项检测工具,下载后运行适合操作系统和 CPU 架构的版本,如:

xz_cve_2024_3094_scanner_linux_amd64 scan

若输出结果包含“是否存在漏洞:是”或“VulnFound: true”则说明存在后门。

工具获取方式

https://stack.chaitin.com/tool/detail/1286

2/查询版本

xz --version

查看结果是否为5.6.0或5.6.1

3/自查脚本**(来自Openwall帖子原作者)**

#! /bin/bash

解决方案

 Solution 

06

官方已发布更新,更新至最新版本5.6.4。

产品支持

 Support 

07

牧云主机安全管理平台支持筛选存在后门的工具版本。

在“牧云主机安全管理平台”-“资产清点”-“软件”中按“软件”搜索“xz”,如下图所示:

搜索结果如下图所示:

再按“版本号”搜索“5.6.0”和“5.6.1”,如下图所示:

时间线

 Timeline 

08

3月29日 互联网公开供应链投毒情报

3月30日 长亭安全应急响应中心发布通告

参考资料:

[1].https://www.openwall.com/lists/oss-security/2024/03/29/4

长亭应急响应服务

全力进行产品升级

及时将风险提示预案发送给客户

检测业务是否收到此次漏洞影响

请联系长亭应急团队

7*24小时,守护您的安全

第一时间找到我们:

邮箱:support@chaitin.com

应急响应热线:4000-327-707

相关推荐
热门产品
雷池 WAF 社区版
IP 威胁情报
网站安全监测
百川漏扫服务
云堡垒机
百川云
技术文档
开发工具
漏洞库
网安百科
安全社区
CT STACK 安全社区
雷池社区版
XRAY 扫描工具
长亭科技
长亭科技官网
万众合作伙伴商城
长亭 BBS 论坛
友情链接
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服
Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2