廣泛使用的實用程式中發現的後門可能導致Linux社群崩潰
微軟研究員Andres Freund 偶然發現了可以破解sshd 驗證的惡意程式碼。如果沒有被發現,它可能會對Linux 構成嚴重威脅。開源社群對這一事件作出了反應,肯定了這一發現的偶然性,以及它是如何幸運地在對更廣泛的Linux 社群構成重大風險之前被及早發現的。
![2024-03-31-image-3-j.webp](https://i0.wp.com/static.cnbetacdn.com/article/2024/0331/a45726767b42ad0.webp?w=640&ssl=1)
微軟的PostgreSQL開發人員安德烈斯-弗羅因德(Andres Freund)在進行一些例行的微基準測試時,注意到ssh 進程出現了600 毫秒的小延遲。
![圖片.png](https://i0.wp.com/static.cnbetacdn.com/article/2024/0331/565d7ec160b8578.png?w=640&ssl=1)
一波未平一波又起,Freund 最終偶然發現了一種供應鏈攻擊,其中涉及XZ 軟體包中被混淆的惡意程式碼。他將這項發現發佈在開源安全郵件清單上,開源社群從此開始關注這一事件。
開發社群迅速揭露了這項攻擊是如何被巧妙地註入XZ utils 的,XZ utils 是一個小型開源項目,至少自2009 年以來一直由一名無償開發人員維護。與違規提交相關的帳戶似乎玩起了長線遊戲,慢慢贏得了XZ 開發人員的信任,這讓人們猜測惡意程式碼的作者是一個老練的攻擊者,可能隸屬於某個國家機構。
該惡意程式碼的正式名稱為CVE-2024-3094,CVSS 評分為最高的10 分。紅帽公司報告說,惡意程式碼修改了liblzma 中的函數,這是一個資料壓縮庫,是XZ utils 軟體包的一部分,也是幾個主要Linux 發行版的基礎部分。
![圖片.png](https://i0.wp.com/static.cnbetacdn.com/article/2024/0331/722137c7f31bef8.png?w=640&ssl=1)
然後,任何與XZ 庫連結的軟體都可以使用這些修改過的程式碼,並允許截取和修改與該程式庫一起使用的資料。據Freund 稱,在某些條件下,這個後門可以讓惡意行為者破壞sshd 身份驗證,從而允許攻擊者存取受影響的系統。 Freund 也報告說,XZ utils 5.6.0 和5.6.1 版本也受到影響。
![圖片.png](https://i0.wp.com/static.cnbetacdn.com/article/2024/0331/e32813f33ce40b2.png?w=640&ssl=1)
Red Hat 在Fedora 41 和Fedora Rawhide 中發現了有漏洞的軟體包,建議用戶停止使用,直到更新可用,但Red Hat Enterprise Linux (RHEL) 仍未受到影響。 SUSE 已發布openSUSE(Tumbleweed 或MicroOS)的更新。 Debian Linux 穩定版是安全的,但測試版、不穩定版和實驗版由於軟體包受損,需要xz-utils 更新。在3 月26 日至3 月29 日期間更新的Kali Linux 用戶需要再次更新以獲得修復,而在3 月26 日之前更新的用戶不受此漏洞影響。
不過,正如許多安全研究人員指出的那樣,情況仍在發展中,可能會發現更多漏洞。目前還不清楚其有效載荷是什麼。美國網路安全和基礎設施安全局建議人們降級到未被破壞的XZ utils 版本,即早於5.6.0 的版本。安全公司還建議開發人員和使用者進行事件回應測試,查看是否受到影響,如果受到影響,則向CISA 報告。
幸運的是,這些受影響的版本似乎並沒有被納入任何主要Linux 發行版的生產版本中,但安全公司Analygence 的高級漏洞分析師Will Dormann 告訴Ars Technica,這次發現可謂千鈞一髮。他說:”如果沒有被發現,這將為世界帶來災難。”