CVE-2024-3094 Vulnerability (XZ Backdoor)

安全分析师最近发现了一个可能造成严重后果的严重漏洞。根据紧急安全通告，广泛使用的数据压缩工具 XZ Utils（以前称为 LZMA Utils）的两个版本已被恶意代码破坏。此代码允许对受影响的系统进行未经授权的远程访问。

该安全漏洞编号为 CVE-2024-3094，CVSS 评分为 10.0，代表严重程度最高。该漏洞影响 XZ Utils 的 5.6.0 版本（2024 年 2 月 24 日发布）和 5.6.1 版本（2024 年 3 月 9 日发布）。

该漏洞利用了对 liblzma 构建过程的复杂操纵。具体来说，从源代码中伪装的测试文件中提取预构建的目标文件。然后，该目标文件用于更改 liblzma 代码中的特定函数，从而使漏洞持续存在。

CVE-2024-3094 漏洞允许攻击者发送任意有效负载

该威胁过程导致了 liblzma 库的修改版本，能够拦截和改变与任何使用该库的软件的数据交互。

更准确地说，嵌入在库中的恶意代码旨在通过 systemd 软件套件破坏 sshd 守护进程（SSH（安全 Shell）的一个组件）。这种操纵可能使威胁行为者能够破坏 sshd 身份验证并非法远程访问系统，但前提是满足某些条件。

CVE-2024-3094 引入的有害后门的最终目的是将代码注入受害机器上运行的 OpenSSH 服务器 (SSHD)。这将使拥有特定私钥的特定远程攻击者能够通过 SSH 发送任意有效载荷。这些有效载荷将在身份验证阶段之前执行，从而有效地夺取对整个受害系统的控制权。

CVE-2024-3094 漏洞很可能是由欺诈相关行为者故意引入的

这个隐藏得极为复杂的恶意代码似乎是一位名叫 Jia Tan（JiaT75）的用户通过对 GitHub 上的 Tukaani 项目的四次提交序列集成而成。

考虑到持续数周的活动，这表明提交者要么直接受到牵连，要么他们的系统受到了严重损害。然而，考虑到他们在各种论坛上就所谓的“修复”的参与，后一种情况似乎不太可信。

GitHub 现已归微软所有，该公司已采取行动，停用 Tukaani 项目管理的 XZ Utils 存储库，理由是其违反了 GitHub 的服务条款。截至目前，尚未收到有关该漏洞被利用的报告。

调查表明，这些受损的软件包仅出现在 Fedora 41 和 Fedora Rawhide 发行版中。其他主要发行版，如 Alpine Linux、Amazon Linux、Debian Stable、Gentoo Linux、Linux Mint、Red Hat Enterprise Linux (RHEL)、SUSE Linux Enterprise 和 Leap 以及 Ubuntu 仍然不受此安全问题的影响。

缓解CVE-2024-3094后门漏洞

建议 Fedora Linux 40 的用户恢复到 5.4 版本。此外，其他几个 Linux 发行版也受到了供应链攻击的影响，包括：

Arch Linux（安装介质2024.03.01，虚拟机映像20240301.218094和20240315.221711，以及2024年2月24日至2024年3月28日之间创建的容器映像）

• Kali Linux（3 月 26 日至 3 月 29 日期间）
• openSUSE Tumbleweed 和 openSUSE MicroOS（3 月 7 日至 3 月 28 日期间）
• Debian 测试、不稳定和实验版本（范围从 5.5.1alpha-0.1 到 5.6.1-1）

这一进展促使美国网络安全和基础设施安全局 (CISA) 发布了自己的警报，建议用户将 XZ Utils 恢复到不受该漏洞影响的版本，例如 XZ Utils 5.4.6 Stable。