时间线全记录 | Xzliblzma 被植入源码级后门
💡
原文中文,约3600字,阅读约需9分钟。
📝
内容提要
微软公司的开发人员发现Xzliblzma软件包中存在供应链攻击,可能允许攻击者非授权访问系统。已知受影响的版本有XZ Utils 5.6.0和5.6.1。建议用户降级到5.4版XZ或更新到官方最新版5.6.4。攻击者潜伏了三年,只差一点就可以往多个Linux发行版的sshd注入后门。
🎯
关键要点
- 微软发现Xzliblzma软件包存在供应链攻击,可能导致非授权访问系统。
- 受影响的版本包括XZ Utils 5.6.0和5.6.1,建议用户降级到5.4版或更新到5.6.4。
- 攻击者潜伏三年,几乎能够在多个Linux发行版的sshd中注入后门。
- 恶意代码通过混淆手段植入liblzma库,影响与该库链接的软件。
- 后门代码可能干扰OpenSSH守护进程,导致sshd认证被破坏。
- Red Hat将此安全问题命名为CVE-2024-3094,严重性评分为10分。
- 确认受影响的发行版包括Fedora Rawhide、Debian testing和Ubuntu 24.04 LTS。
- 用户可通过脚本检测是否受影响,并建议降级或更新软件版本。
- 攻击者在GitHub上注册并逐渐获得信任,最终在代码中植入恶意数据。
- 注入代码可能导致sshd CPU占用飙升,最终被安全研究人员发现并报告。
❓
延伸问答
Xzliblzma的后门攻击是如何被发现的?
微软开发人员在调查SSH性能问题时发现了Xzliblzma软件包中的恶意代码,进一步溯源后确认了后门的存在。
哪些版本的XZ Utils受到影响?
受影响的版本包括XZ Utils 5.6.0和5.6.1,建议用户降级到5.4版或更新到5.6.4。
后门代码可能造成什么后果?
后门代码可能干扰OpenSSH守护进程,导致sshd认证被破坏,从而允许攻击者未经授权访问系统。
如何检测系统是否受到Xzliblzma后门的影响?
用户可以通过提供的脚本检测liblzma的路径和函数签名,以判断系统是否可能受到影响。
攻击者是如何在代码中植入恶意数据的?
攻击者通过在GitHub上注册并逐渐获得信任,最终在代码中悄悄加入了恶意数据,导致编译结果与公开源代码不一致。
CVE-2024-3094的严重性评分是多少?
CVE-2024-3094的严重性评分为10分,属于最高级别的安全漏洞。
➡️
