XZ Utilѕ 工具库恶意后门植入漏洞(CVE-2024-3094)安全风险通告

最新推荐文章于 2024-05-17 14:22:48 发布
最新推荐文章于 2024-05-17 14:22:48 发布
阅读量581 收藏
点赞数
文章标签: 安全 网络
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519193&idx=1&sn=14b16d44e50babd5dd2fa00c4bd1bffd&chksm=eb70364a73ac2f5ee009bddb065babe11580d2f676ca1711a3a91007e28358daeab9cc8609ef&scene=126&sessionid=0
版权

● 点击↑蓝字关注我们,获取更多安全风险通告

漏洞概述

漏洞名称

XZ Utilѕ 工具库恶意后门植入漏洞

漏洞编号

QVD-2024-11691,CVE-2024-3094

公开时间

2024-03-29

影响量级

万级

奇安信评级

高危

CVSS 3.1分数

10.0

威胁类型

供应链攻击、后门

利用可能性

POC状态

未公开

在野利用状态

未知

EXP状态

未公开

技术细节状态

部分公开

危害描述:恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。恶意代码修改了liblzma代码中的函数,该代码是XZ Utils软件包的一部分,链接到 XZ 库的任何软件都可以使用此修改后的代码,并允许拦截和修改与该库一起使用的数据。

01

漏洞详情

>>>>

影响组件

XZ是一种高压缩比的数据压缩格式,由Tukaani项目开发,几乎存在于每个Linux发行版中,无论是社区项目还是商业产品发行版。它帮助将大文件格式压缩(然后解压缩)为更小、更易管理的大小,以便通过文件传输进行共享。liblzma是一个用于处理XZ压缩格式的开源软件库。

>>>>

漏洞描述

近日,奇安信CERT监测到XZ Utilѕ 工具库恶意后门植入漏洞(CVE-2024-3094),3月29日有开发人员在安全邮件列表上发帖称,他在调查SSH性能问题时发现了涉及XZ包中的供应链攻击,进一步溯源发现SSH使用的上游liblzma库被植入了后门代码,恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。恶意代码修改了liblzma代码中的函数,该代码是XZ Utils软件包的一部分,链接到 XZ 库的任何软件都可以使用此修改后的代码,并允许拦截和修改与该库一起使用的数据。

鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。

本次更新内容: 

新增部分IOC。

02

影响范围

>>>>

影响版本

xz == 5.6.0 

xz == 5.6.1

liblzma== 5.6.0 

liblzma== 5.6.1

>>>>

其他受影响组件

使用了受影响版本XZ的操作系统或软件如openSUSE、Fedora 41、Liblzma、Debian非稳定的测试版 5.5.1alpha-0.1 到 5.6.1-1

详情可在此查询:

https://repology.org/project/xz/versions

03

验证及处置建议

>>>>

处置建议

目前 GitHub 已经关停了整个xz项目。

操作系统是否受影响影响版本官方公告
Red Hat
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
FedoraFedora 41 and Fedora Rawhidehttps://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
Debian 所有稳定版
https://security-tracker.debian.org/tracker/CVE-2024-3094
Debian testing,
unstable and
experimental
distributions		5.5.1alpha-0.1(于 2024 年 2 月 1 日上传)到 5.6.1-1https://lists.debian.org/debian-security-announce/2024/msg00057.html
Kali Linux在3月26日至3月29日期间更新过的任何Kali安装https://www.kali.org/blog/about-the-xz-backdoor/
OpenSUSETumbleweed snapshot <= 20240328https://news.opensuse.org/2024/03/29/xz-backdoor/
Amazon Linux

Alpine5.6.0
5.6.0-r0
5.6.0-r1
5.6.1
5.6.1-r0
5.6.1-r1
MACOS
HomeBrew x64

MicroOS3月7日至3月28日期间发行
SUSE 
全部版本
https://www.suse.com/security/cve/CVE-2024-3094.html
archlinux
https://security.archlinux.org/CVE-2024-3094
Alpine edge
https://pkgs.alpinelinux.org/package/edge/main/x86/xz
可据此查看受影响的开源操作系统 https://repology.org/project/xz/versions

自查脚本:

#! /bin/bash

set -eu

# find path to liblzma used by sshd

path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"

# does it even exist?

if [ "$path" == "" ]

then

  echo probably not vulnerable

  exit

fi

# check for function signature

if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410

then

  echo probably vulnerable

else

  echo probably not vulnerable

fi

也可通过如下命令查看系统本地是否安装了受影响的XZ:

$ xz --version

xz (XZ Utils) 5.6.1

iblzma 5.6.1

7554ad9aec3f61689b97cf55045cba49.png

目前官方尚无最新版本,需对软件版本进行降级5.4.X,请关注官方新版本发布并及时更新。

Fedora Linux 40 用户需 xz 回退到 5.4.x 版本可参考:

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

https://bodhi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266

04

部分IOC

目前,奇安信CERT已发现部分IOC,如下所示:

MD5文件名
4f0cf1d2a2d44b75079b3ea5ed28fe54x86_64-linux-gnu-liblzma.so.5.6.0
d26cefd934b33b174a795760fc79e6b5liblzma_la-crc64-fast-5.6.1.o
d302c6cb2fa1c03c710fa5285651530fusr/lib/liblzma.so.5
212ffa0b24bb7d749532425a4676443300000001.liblzma_la-crc64-fast.o
53d82bb511b71a5d4794cf2d8a2072c1liblzma.so.5.6.1
35028f4b5c6673d6f2e1a80f02944fb2bad-3-corrupt_lzma2.xz
9b6c6e37b84614179a56d03da9585872bad-3-corrupt_lzma2.xz
540c665dfcd4e5cfba5b72b4787fec4fgood-large_compressed.lzma
89e11f41c5afcf6c641b19230dc5cdeagood-large_compressed.lzma

05

参考资料

[1]https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

[2]https://www.openwall.com/lists/oss-security/2024/03/29/10 

[3]https://repology.org/project/xz/versions

[4]https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094 

[5]https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/

[6]https://github.com/byinarie/CVE-2024-3094-info

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

0324b34d8d475a2d5d4c166071c2d409.jpeg

推荐阅读

在线阅读版:《2023中国软件供应链安全分析报告》全文

奇安信入选全球《软件成分分析全景图》代表厂商

开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞

Linux 恶意软件攻击配置不当的云服务器

WiFi漏洞导致安卓和Linux设备易受攻击

Linux glibc 漏洞可导致攻击者在主要发行版本获得 root 权限

PyPI 仓库存在116款恶意软件,瞄准 Windows 和 Linux 系统

严重的蓝牙漏洞已存在多年,可用于接管安卓、iOS 和 Linux 设备

转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

5e23bfb65de8b235cb0d4d617995d1ed.jpeg

526e454f68ad69269e4bf0f4cc09128c.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   025b92f6d961e8b66870c84eff3ba1d0.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2024-3094:Linux生态供应链攻击
Ms08067安全实验室
03-30 1618
作者:皮卡丘CVE-2024-3094:供应链攻击? 一个潜伏3年只为通杀的漏洞,今天更新了一个CVE漏洞XZ-utils5.6.0/5.6.1版本后门风险(CVE-2024-3094)这个后门并非作者无意加入的,也不是引入存在后门文件导致的问题,而是有人经过三年的潜伏,积极参与该项目的维护,在获得了直接commit代码的权限以后将后门代码注入其中。这个代码一共存活了不到2...
Jackson_RCE-CVE-2019-12384:CVE-2019-12384 漏洞测试环境
05-26
将项目导入到idea,再配置好maven之后设置自动导入依赖,然后在本地的web空目录写入如下文件,保存为exec.sql。并启动一个http server: CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) ...
极危!XZ Utils 5.6.0/5.6.1版本恶意后门植入漏洞风险通告
亚信安全官方账号的博客
04-01 1820
前日,亚信安全CERT监测到 XZ Utils 5.6.0、5.6.1版本存在恶意后门植入漏洞。攻击者可能利用该漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,执行任意代码,请相关用户立即采取安全措施!
CVE-2024-3094】——漏洞复现、原理分析以及漏洞修复
最新发布
IronmanJay的博客
05-17 3924
XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在debian、ubuntu、centos等发行版仓中。2024年3月29日,安全社区披露其存在CVE-2024-3094 XZ-Utils 5.6.0-5.6.1版本后门风险。该后门存在于XZ Utils的5.6.0和5.6.1版本中,由于SSH底层依赖了liblzma等,攻击者可能利用这一漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,执行任意代码。
漏洞预警丨XZ Utilѕ工具恶意后门植入漏洞(CVE-2024-3094)【内含自检方式】
C20220511的博客
04-02 1716
这条命令拼接后为:sed "r\n" ./tests/files/bad-3-corrupt_lzma2.xz | tr "\t \-_" " \t_\-" | xz -d 2> /dev/null,主要从./tests/files/bad-3-corrupt_lzma2.xz中提取代码并解压,最后再执行。通过以上检查后,执行后门核心功能,主要功能是挂钩(HOOK)SSH登录认证过程中的函数RSA_public_decrypt,未授权执行指定的系统命令。
【核弹级安全事件】XZ Utils中发现秘密后门,影响主要Linux发行版,软件供应链安全大事件
weixin_55163056的博客
03-31 2291
Red Hat 发布了一份“紧急安全警报”,警告称两款流行的数据压缩XZ Utils(先前称为LZMA Utils)的两个版本已被植入恶意代码后门,这些代码旨在允许未授权的远程访问。 此次软件供应链攻击被追踪为``CVE-2024-3094``,其CVSS评分为``10.0``,表明其严重性极高。它影响了XZ Utils的5.6.0版本(2月24日发布)和5.6.1版本(3月9日发布)
jetty-util-6.1.25.jar
01-10
jetty-util-6.1.25.jarjetty-util-6.1.25.jarjetty-util-6.1.25.jar
ws-commons-util-1.0.2.zip_ws-comm-util.jar
09-21
总结,"ws-commons-util-1.0.2.zip_ws-comm-util.jar" 提供的是一个对XenServer至关重要的Java工具,开发者在构建或维护XenServer环境时,需要确保这个特定版本的正确引入并可用,以保证软件的正常运行。
mdast-util-from-markdown:mdast实用工具来解析markdown
05-24
mdast-util-from-markdown 实用工具来解析markdown。安装 : npm install mdast-util-from-markdown用假设我们有以下markdown文件example.md : ## Hello, *World* ! 我们的脚本example.js如下所示: var fs = ...
XStream Deserializable Vulnerablity And Groovy CVE-2015-3253漏洞分析
08-08
《XStream 反序列化漏洞与 Groovy CVE-2015-3253 漏洞详解》 在信息安全领域,序列化和反序列化的问题一直备受关注,特别是近年来,这类漏洞频繁出现,对系统安全构成了严重威胁。本文将深入探讨XStream组件的反序...
XZ Utils:用于XZ和LZMA压缩文件的和命令行工具-开源
04-13
用于XZ和LZMA压缩文件的和命令行工具
XZ-Utils供应链后门漏洞(CVE-2024-3094)】
一纸荒芜的博客
04-05 1200
XZ-Utils供应链后门漏洞(CVE-2024-3094)
Linux 压缩工具XZ Utils的使用
建伟博客
01-06 4198
XZ Utils一个Free(免费,抑或自由)的高压缩比的数据压缩软件。可以运行在 Unix/Linux,以及Windows平台。是早期的LZMA Utils的继任者。 windows用xz命令或7zip解压,freebsd自带很多命令都可以xz -d或者unxz或者xzcat或者xzdec。 XZ Utils代码的核心部分源自 7z 中的 LZMA SDK,但做了大幅修改。目前,该软件 的压
使用 XZ Utils 获得更高的压缩率
xumaojun的专栏
03-31 1292
关于 XZ Utils XZ Utils 是为 POSIX 平台开发具有高压缩率的工具。它使用 LZMA2 压缩算法,生成的压缩文件比 POSIX 平台传统使用的 gzip、bzip2 生成的压缩文件更小,而且解压缩速度也很快。最初 XZ Utils 的是基于 LZMA-SDK 开发,但是 LZMA-SDK 包含了一些 WINDOWS 平台的特性,所以 XZ Utils 为以适应 POSIX 平
[ 移植 ] ___ Utils : Xz
___川流不息
04-27 253
[ 移植 ] ___ Utils : XZ概述获取配置安装查看 概述 一款高压缩比的免费通用数据压缩软件。 为类POSIX系统编写的,但也适用于一些非POSIX系统。 LZMA Utils的继承者。 压缩代码的核心是基于LZMA SDK,但经过大量修改以适应XZ Utils。 目前主要的压缩算法是LZMA2,在.xz容器格式中使用。 对于典型文件,XZ Utils创建的输出比gzip小30%,比bzip2小15%。 XZ Utils由几个组件组成: liblzma是一个压缩,其API类似于zlib
xz爆出10分的核弹级漏洞,开源社区的仓都被炸没了
一点
03-31 881
这可能是2024安全界的第一大瓜,所有观众都将是这场事件史诗级安全事件的见证者。用一句比较吸眼球的话概括这个故事。养父投毒差点毒死养子,社区委员会查封了该家的故事。
2024】Linux漏洞修复合集
slience_me的博客
01-03 3472
2024 Linux漏洞修复合集
CVE-2020-14644:WebLogic IIOP反序列化漏洞深度解析
"CVE-2020-14644是一个针对Oracle WebLogic Server的IIOP(Internet Inter-ORB Protocol)反序列化漏洞,主要影响12.2....CVE-2020-14644是一个严重的安全漏洞,需要及时采取措施进行修复,以免遭受可能的恶意攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值