https://www.informationsecurity.com.tw/Seminar/2024_PaloAlto/
https://www.informationsecurity.com.tw/Seminar/2024_PaloAlto/

新聞

XZ Utils後門事件更新:那些Linux版本受影響?

2024 / 04 / 01
編輯部
XZ Utils後門事件更新:那些Linux版本受影響?
存在於大多數Linux發行版本中的XZ Utils壓縮工具程式被發現遭到某名可信賴的維護者植入後門程式碼,這項消息震撼了開放原始碼軟體社群。
 
這起後門程式碼是由微軟公司的軟體工程師Andres Freund在測試Debian sid(開發中)安裝版本時偶然發現的。當時他想查明為何SSH登入會耗用大量CPU資源,並且發生錯誤訊息。
 
他發現問題出在liblzma數據壓縮庫中,該庫是XZ套件的一部份,因此他得出結論:「上游的xz存放庫和xz tarball已被植入後門程式碼」。
 
雖然Andres Freund表示自己並非安全研究人員或反向工程師,但在測試過程中他還是得出不少重要發現,更重要的是,他成功將這個問題回報給Debian和其他Linux發行版本。
 
公開揭露後,Red Hat也證實部份Fedora Linux版本確實含有受駭的XZ函式庫版本。

相關文章:XZ Utils庫驚爆後門,多個Linux版本受害!駭客可遠端取得系統控制權

受影響的Linux發行版本

Red Hat證實,Fedora Rawhide(Fedora Linux的目前開發版本)和Fedora Linux 40 beta版本含有受影響的xz函式庫版本(5.6.0和5.6.1),但Red Hat Enterprise Linux(RHEL)並未受到影響。
 
openSUSE維護人員表示,在3月7日至3月28日期間,openSUSE Tumbleweed和openSUSE MicroOS確實包含了受駭的xz版本,並提供使用者該如何因應的建議。「目前已確定,植入於Tumbleweed的惡意檔案並未出現在SUSE Linux Enterprise和Leap版本中。」
 
Debian維護人員宣布「沒有任何Debian穩定版本受到影響」,但是受駭的套件確實存在於Debian測試版、不穩定版和實驗版,使用這些版本的使用者「被要求更新xz-utils套件」。
 
在3月26日至29日期間更新過Kali Linux的使用者受到影響,OffSec已證實此事。
 
部分Arch Linux虛擬機和容器映像檔,以及一個安裝媒體中,包含了受影響的XZ版本。
 
Ubuntu表示,該發行版本的已發佈版本皆未受此問題影響。
 
Linux Mint、Gentoo Linux、Amazon Linux和Alpine Linux都未受到影響。
 
使用者應該遵循各自Linux發行版本維護團隊的指示,並且可透過檢查Script來確認系統是否使用了受駭的liblzma函式庫版本。
 
Orca Security研究團隊指出,任何曾經安裝過受影響套件的系統,都應視為潛在的安全風險,應進行調查以確認後門程式碼是否遭到利用。研究人員建議至少要檢查機器上是否存在任何敏感資訊或金鑰,更新設備上發現或與設備相關的任何憑證,並檢視與受影響設備相連的IT資產。

XZ後門程式碼

XZ Utils是一款命令列工具,用於壓縮/解壓縮.xz檔案。
 
目前已經確定,XZ Utils 5.6.0和5.6.1版本受到駭客入侵。後門程式碼植入於套件的liblzma庫中,該庫會被sshd(SSH守護程序)使用,用於監聽SSH連線。
 
安全研究人員、開源維護人員和其他專家一直在分析受駭版本和後門程式碼,並公布了初步研究結果。
 
研究人員指出,xz-utils中的後門程式碼只有在特定條件下才會啟動。目前後門程式碼尚未全面調查完成,但已知非特權遠端系統連線至公開SSH連接埠可觸發啟動此後門程式碼,導致效能問題,甚至可能危及系統完整性。

「JiaT75」是背後主始者

XZ Utils的原作者兼目前的領導者是Lasse Collin,但這次的後門程式碼卻是由一名自稱「JiaT75」Github帳號者植入的。JiaT75透過多年的社交工程以及操縱多個假帳號,成功贏得信任,成為該軟體的主要維護者,並做出其他一些行為來掩蓋後門程式碼的存在。
 
研究人員表示可能永遠不會知道幕後黑手的真實身分,但網路安全和開源軟體社群普遍認為,「JiaT75」投入的長期、有規劃的攻擊行動,顯示這是一個高度專業的威脅行動者。
 
這次的後門程式碼攻擊非常嚴重,攻擊者展現出極高的知識、研究、開發和技術層次,才能深入滲透Linux生態系統。此外,威脅者在Github上的活動蹤跡可追溯至多年前,例如在2015年便引入了一些與OSS Fuzzer掃描工具不相容的功能,導致出現微小問題,然後在去年讓OSS Fuzzer將XZ Utils從掃描範圍中排除。
 
後門程式碼本身製作精良,甚至包含能夠遠端將後門程式碼停用並移除的殺手功能(kill command)。到目前為止,尚未看到研究人員能完全做好對後門程式碼的逆向工程分析。
 
Freund偶然發現這個後門程式碼,對Linux和廣大開源軟體社群來說是一次極其幸運發現。這個後門程式碼沒有出現在主要Linux發行版的穩定版本中。這起事件也證明確保關鍵開源專案的安全必須儘快得到實際的解決方案。

本文轉載自helpnetsecurity。