近日發現有不明人士把惡意編碼放入開源壓縮工具XZ Utils的5.60和5.6.1之內,而這款木馬化的工具能夠潛入幾個受歡迎版本的Linux系統內,有機會形成供應鏈攻擊,有關安全漏洞識別編號為CVE-2024-3094。
危險的惡意置入
開始時很多研究人員聲稱該後門程式讓攻擊者能繞過sshd認證,遙距取得未經授權的操作系統存取,然而根據最新的資訊,該安全漏洞並不應該歸類為繞過認證,而是遙距執行編碼,後門程式攔截RSA_public_decrypt功能,使用固定金鑰Ed448驗證主機的簽署,一旦驗證成功便會執行惡意編碼,並且不在sshd的紀錄內留下痕跡。
哪個版本的Linux受影響?
已知道XZ Utils的5.6.0和5.6.1版本都包含在以下的Linux版本內:
- Kali Linux,但根據官方部落格,受影響只在於3月26至29日之間的版本。
- openSUSE Tumbleweed和openSUSE MicroOS,在3月7至28日之間。
- Fedora 41、Fedora Rawhide和Fedora Linux 40 beta
- Debian (只限測試、不穩定和實驗版)
- Arch Linux,由2月29至3月29日之間的版本,官網archlinux.org指出由於實施的特點,該攻擊不會影響Arch Linux,但仍強烈建議升級系統。
根據官方資料,Red Hat Enterprise Linux (RHEL)、SUSE Linux Enterprise、openSUSE Leap和Debian Stable不受影響,至於其他版本則應該手動檢查是否存在木馬版本的XZ Utils。
惡意編碼如何進入XZ Utils?
事件是典型的主權轉換,在GitHub管理XZ Libs的人把儲存庫的控制權,交給另一個多年來貢獻壓縮相關儲存庫的帳號,然後在某個時間,該帳號的某人把後門程式加入到程式內。
降級保平安
美國CISA建議在3月安裝或升級操作系統的用戶,立即把XZ Utils降級到較早期的版本(例如5.4.6),並且立即尋找惡意的行為。如果是受影響人士,也應該盡快更換所有憑證,因為很可能已經被盜,大家可以利用這個來偵測安全漏洞,如果懷疑公司已被未經授權人士入侵,建議盡快尋求專業人士的協助。
資料來源:Kaspersky Blog
