黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版

黑客潜伏两年后向xz-utils添加后门影响多个Linux发行版本周五RedHat警告用户在最新版本的xz-utils数据压缩工具和库中发现了一个后门。这些恶意代码旨在允许未经授权的访问，而且这些受影响的版本已经被多个Linux发行版合并，但RHEL不受此影响。RedHat目前正在跟踪此供应链安全问题，编号为，严重性评分为10/10。xz是被Linux发行版广泛使用的压缩格式之一，xz-utils(LZMA-utils)是一个开源项目，2022年起有个名为JiaTan的账号开始向该项目贡献代码，然后逐步接手该项目成为项目的主要贡献者，也是该项目当前唯一的活跃贡献者。恶意代码经过混淆，只能在完整的下载包中找到，而无法在Git发行版中找到，因为缺少触发后门构建过程的M4宏。该恶意代码会修改系统中的OpenSSH，使攻击者可以使用精心构造的数据跳过RSA密钥检验，在未授权情况下授予攻击者不受限制的访问权限。——

xz 开发者植入后门破解 SSH 加密

xz开发者植入后门破解SSH加密Linux上广泛使用的无损压缩软件包xz-utils被该项目的一位维护者秘密植入了后门，后门旨在绕过签名验证未经授权访问开放SSH端口的系统。存在后门的版本是v5.6.0和v5.6.1，后门版本尚未进入Linux发行版的生产版本，因此影响范围有限，主要影响的是测试版本的Debian和RedHat发行版，以及Arch和openSUSE等。攻击者被认为处心积虑，潜伏长达三年时间。使用中文拼音的攻击者JiaT75(JiaTan)于2021年创建了GitHub账号，之后积极参与了xz-utils的开发，获取信任之后成为了该项目的维护者之一。过去几个月，JiaT75开始非常巧妙的悄悄加入恶意代码，“分阶段通过添加测试用例数据为掩盖放入了恶意代码，并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本，在库中添加了劫持某OpenSSL函数的功能，添加了一个SSH后门。”创建后门版本之后JiaT75还积极联络主要Linux发行版维护者，以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在bug，会导致崩溃等，此人随后与Linux开发者们频繁联络通信，试图修复问题，并建议他们发现问题后不要公开。目前JiaT75的账号以及xz-utils库都已被关闭。来源，频道：@kejiqu群组：@kejiquchat

微软员工意外从CVE-2024-3094 XZ后门中挽救了全球Linux崩溃事件

微软员工意外从CVE-2024-3094XZ后门中挽救了全球Linux崩溃事件幸运的是，微软Linux开发人员AndresFreund意外地及时发现了这一漏洞，他对SSH（安全外壳）端口连接为何会出现500毫秒延迟感到好奇，结果发现了一个嵌入在XZ文件压缩器中的恶意后门。到目前为止，在撰写本文时，VirtusTotal只列出了63家安全厂商中的4家，其中包括微软，它们都正确地检测到了该漏洞的危害性。因此，在这一事件中，微软工程师的鹰眼本领值得称赞，因为很多人可能根本不会费心去研究它。这一事件也凸显了开源软件是如何被有害行为者利用的。XZUtils的5.6.0和5.6.1版本已被后门破坏，美国网络安全和基础设施安全局（CISA）的官方建议是使用旧的安全版本。根据建议指南，要验证系统中是否有漏洞软件，用户可以在SSH中以管理员权限运行以下命令：xz--version系统管理员也可使用第三方扫描和检测工具。安全研究公司Qualys和Binarly发布了检测和扫描工具，用于检测系统是否受到影响。Qualys发布了VULNSIGS2.6.15-6版本，并在QID（Qualys漏洞检测ID）"379548"下标记了该漏洞。与此同时，Binarly还发布了一款免费的XZ后门扫描工具，一旦检测到XZUtils被入侵，该工具就会发出"XZ恶意植入"的检测信息。您可以在Binarly和Qualys的网站上找到与该漏洞相关的更多技术细节。...PC版：https://www.cnbeta.com.tw/articles/soft/1425919.htm手机版：https://m.cnbeta.com.tw/view/1425919.htm

XZ 发布 5.6.2 ，已移除先前后门代码

XZ发布5.6.2，已移除先前后门代码两个月前，XZ发布了紧急安全警报，指出liblzma中被植入了恶意代码，这是由一名不法分子通过混入XZ共同维护团队而添加的后门。XZ的长期开发者LasseCollin回归并重新掌舵，对之前的XZ提交进行了审计，并于今日发布了完全移除了后门的XZ5.6.2。LasseCollin今天发布的XZ5.6.2版本，已经清除了之前v5.6和v5.6.1版本中存在的CVE-2024-3094后门。截至目前XZ后门事件仍在调查中LasseCollin还宣布，SamJames将成为XZ项目未来的支持维护者。XZ5.6.2发布版本还包括一些错误修复、对最新NVIDIAHPCSDK（编译器）的构建修复，以及移除了GNU间接函数（IFUNC）支持。IFUNC支持曾被XZ后门利用，但移除此代码的原因是使用它带来的性能提升微乎其微，同时增加了很大的复杂性。今天还发布了包含各种错误修复的XZ5.4.7和XZ5.2.13，但只有XZ5.6系列受到了后门事件的影响。消息来源:Xz项目地址:

心机黑客潜伏两年后向xz-utils添加后门 多个Linux发行版中招

心机黑客潜伏两年后向xz-utils添加后门多个Linux发行版中招日前该项目被发现存在后门，这些恶意代码旨在允许未经授权的访问，具体来说影响xz-utils5.6.0和5.6.1版中，而且这些受影响的版本已经被多个Linux发行版合并。简单来说这是一起供应链投毒事件，攻击者通过上游开源项目投毒，最终随着项目集成影响Linux发行版，包括FedoraLinux40/41等操作系统已经确认受该问题影响。恶意代码的目的：RedHat经过分析后认为，此次黑客添加的恶意代码会通过systemd干扰sshd的身份验证，SSH是远程连接系统的常见协议，而sshd是允许访问的服务。在适当的情况下，这种干扰可能会让黑客破坏sshd的身份验证并获得整个系统的远程未经授权的访问(无需SSH密码或密钥)。RedHat确认FedoraLinux40/41、FedoraRawhide受该问题影响，RHEL不受影响，其他Linux发行版应该也受影响，具体用户可以在开发商网站获取信息。建议立即停止使用受影响版本：如果你使用的Linux发行版受上述后门程序影响，RedHat的建议是无论个人还是商用目的，都应该立即停止使用。之后请查询Linux发行版的开发商获取安全建议，包括检查和删除后门程序、回滚或更新xz-utils等。孤独的开源贡献者问题：在这里还需要额外讨论一个开源项目的问题，xz-utils尽管被全世界的Linux发行版、压缩软件广泛使用，但在之前只有一名活跃的贡献者在维护这个项目。这个孤独的贡献者可能因为精力不够或者其他原因，在遇到一名新的贡献者时，随着时间的推移，在获取信任后，这名新贡献者逐渐获得了项目的更多控制权。实际上这名黑客应该也是精心挑选的项目，知道这种情况下可能更容易获取控制权，于是从2022年开始就贡献代码，直到成为主要贡献者后，再实施自己的后门行动。未来这类针对开源项目的供应链攻击应该还会显著增加，这对整个开源社区来说应该都是头疼的问题。...PC版：https://www.cnbeta.com.tw/articles/soft/1425585.htm手机版：https://m.cnbeta.com.tw/view/1425585.htm

微软发布有关 Linux 系统 XZ Utils 漏洞的详细常见问题解答

微软发布有关Linux系统XZUtils漏洞的详细常见问题解答微软的回应包括针对受此漏洞影响的用户的关键建议。该公司建议将XZUtils降级到安全版本，并使用MicrosoftDefenderVulnerabilityManagement和DefenderforCloud。该漏洞是微软员工AndresFreund在调查Debian系统SSH性能问题时"意外"发现的。弗罗因德注意到与XZUtils更新相关的异常行为，从而发现了XZUtils5.6.0和5.6.1版本中故意植入的后门。该后门允许拥有正确私钥的攻击者利用SSH操作，授予他们对系统的root访问权限。后门通过五级加载器操作，操纵函数解析过程，使攻击者能够远程执行任意命令。以下是受该漏洞影响的Linux发行版：FedoraRawhidehttps://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-usersFedora41https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-usersDebian测试版、不稳定版和实验版5.5.1alpha-0.1至5.6.1-1。https://lists.debian.org/debian-security-announce/2024/msg00057.htmlopenSUSETumbleweed和openSUSEMicroOShttps://news.opensuse.org/2024/03/29/xz-backdoor/KaliLinuxhttps://www.kali.org/blog/about-the-xz-backdoor/值得注意的是，红帽企业Linux（RHEL）版本不受影响。最流行的Linux发行版之一Ubuntu也没有受到影响，因为它使用的是XZUtils的旧版本5.4。除上述步骤外，还可检查您的Linux系统是否受该漏洞影响、在终端中运行xz--version命令，检查系统中安装的XZUtils版本。如果输出显示版本等于5.6.0或5.6.1，则系统可能存在漏洞。如果您的系统正在运行易受攻击的XZUtils版本，请立即采取行动更新系统，尤其是在使用基于.deb或.rpm的glibc发行版的情况下。优先更新在公开访问的SSH端口上使用systemd的系统，以降低直接风险。如果怀疑自己的系统可能已被入侵，还可以查看审计日志，查找任何可能表明存在未经授权访问或异常活动的异常情况。要了解微软的建议和详细的常见问题，请访问此处的微软技术社区页面。...PC版：https://www.cnbeta.com.tw/articles/soft/1425901.htm手机版：https://m.cnbeta.com.tw/view/1425901.htm