https://www.ithome.com.tw/news/162040
使用SSHD连接到系统的用户当心!因为骇客供应链攻击锁定XZ Utils库植入隐密后门,多个Linux发行版受影响
研究人员Andres Freund在3月29日揭露XZ Utils资料压缩程式库被植入后门,同日Red Hat也发布相关紧急安全通告,指出CVE-2024-3094是CVSS v3风险层级满分10分的漏洞,已确定Fedora Rawhide、Fedora 41、Kali Linux、openSUSE Tumbleweed/MicroOS,部分Debian版本受影响
文/罗正汉 | 2024-03-30发表
今天周六早上,以揭露Exchange重大漏洞ProxyLogon闻名的台湾资安研究人员Orange Tsai,还有其他国内资安社群成员,都在社群平台发文针对一项关于SSHD的供应链攻击提出探讨与示警。
这是因为,研究人员Andres Freund在3月29日于Openwall公布一起涉及SSH服务器的供应链攻击状况,并指出问题出在XZ Utils资料压缩程式库被植入后门,另也说明Red Hat已将此漏洞指派为CVE-2024-3094,且给出CVSS v3风险层级满分10分。
此事件影响广泛,Andres Freund表示,他是在调查SSH登入变慢相关问题时,最初以为发现debian里面的套件包被入侵,但事实上是来自上游的问题,XZ程式库与XZ的tarball档案被植入后门,也就是一桩软件供应链攻击事件。这也再次显现开源软件供应链安全的重要性。
关于此次后门的影响,在Red Hat发布的紧急安全通告中也有说明,恶意程式码修改了XZ Utils套件中名为liblzma部分程式码的功能,这也导致每一软件连结到XZ Utils,并允许变更与程式库一起使用的资料,都会受到影响。而Freund所观察到的例子,在某些特定条件下,这个后门可让攻击者绕过SSHD(Secure Shell Daemon)的身分认证机制,进而针对受影响的系统做到未经授权的存取。
至于有哪些版本受影响,以XZ Utils资料压缩程式库而言,Andres Freund指出受影响的版本是XZ Utils的5.6.0和5.6.1;以其他使用XZ Utils的软件系统而言,目前已确认多个多个Linux发行版本受影响,包括:Fedora Rawhide、Fedora 41、Kali Linux、openSUSE Tumbleweed与openSUSE MicroOS,以及部分Debian版本。
美国CISA也已经对此提出警告,并建议建议开发人员与使用者可先将XZ Utils降级、恢复到未被入侵的版本,如XZ Utils 5.4.6稳定版。同时用户也该进行事件回应、清查入侵状况,以确定是否可能已经受到后门的影响。