CVE-2024-3094 Vulnerability (XZ Backdoor)

安全分析師最近發現了一個可能造成毀滅性影響的嚴重漏洞。根據緊急安全公告，廣泛使用的資料壓縮工具 XZ Utils（以前稱為 LZMA Utils）的兩個迭代已受到惡意程式碼的破壞。此代碼允許對受影響的系統進行未經授權的遠端存取。

此安全漏洞被標識為 CVE-2024-3094，CVSS 評分為 10.0，表示嚴重程度最高。它影響 XZ Utils 版本 5.6.0（2024 年 2 月 24 日發布）和 5.6.1（2024 年 3 月 9 日發布）。

該漏洞涉及對 liblzma 建置過程的複雜操作。具體來說，從原始程式碼中的偽裝測試檔案中提取預先建置的目標檔案。然後，該目標檔案用於更改 liblzma 程式碼中的特定功能，從而使妥協永久化。

CVE-2024-3094 漏洞允許攻擊者發送任意有效負載

這個威脅過程會導致 liblzma 函式庫的修改版本，能夠攔截和更改與任何使用它的軟體的資料互動。

更準確地說，該庫中嵌入的不良程式碼是為了透過 systemd 軟體套件破壞 sshd 守護程式（SSH（安全外殼）的一個元件）而設計的。這種操縱可能使威脅參與者能夠破壞 sshd 身份驗證並在滿足某些條件的情況下遠端非法存取系統。

CVE-2024-3094 引入的有害後門的最終目的是將程式碼注入到受害電腦上運行的 OpenSSH 伺服器 (SSHD) 中。這將使擁有特定私鑰的特定遠端攻擊者能夠透過 SSH 發送任意有效負載。這些有效負載將在身份驗證階段之前執行，從而有效地控制整個受害系統。

CVE-2024-3094 漏洞可能是由詐欺相關行為者故意引入的

這些錯綜複雜的隱藏惡意程式碼似乎是由一位名為 Jia Tan (JiaT75) 的用戶透過 GitHub 上的 Tukaani 專案的一系列四次提交來整合的。

考慮到持續數週的活動，這表明提交者要么直接受到牽連，要么其係統遭受了重大損害。然而，考慮到他們在各種論壇上就所謂的「修復」進行的參與，後一種情況似乎不太合理。

現在歸微軟所有的 GitHub 已採取行動，停用由 Tukaani 專案管理的 XZ Utils 儲存庫，理由是違反了 GitHub 的服務條款。截至目前，還沒有關於在野外進行積極利用的報導。

調查表明，這些受損的軟體包僅出現在 Fedora 41 和 Fedora Rawhide 發行版中。其他主要發行版，如 Alpine Linux、Amazon Linux、Debian Stable、Gentoo Linux、Linux Mint、Red Hat Enterprise Linux (RHEL)、SUSE Linux Enterprise 和 Leap 以及 Ubuntu 仍然不受此安全性問題的影響。

緩解CVE-2024-3094後門漏洞

建議 Fedora Linux 40 的使用者恢復到 5.4 版本。此外，其他幾個 Linux 發行版也受到了供應鏈攻擊的影響，包括：

Arch Linux（安裝媒體2024.03.01，虛擬機器映像20240301.218094和20240315.221711，以及2024年2月24日至2024年3月28日之間建立的容器映像）

• Kali Linux（3 月 26 日至 3 月 29 日期間）
• openSUSE Tumbleweed 和 openSUSE MicroOS（3 月 7 日至 3 月 28 日期間）
• Debian 測試、不穩定和實驗版本（範圍從 5.5.1alpha-0.1 到 5.6.1-1）

這項進展促使美國網路安全和基礎設施安全局 (CISA) 發布了自己的警報，建議用戶將 XZ Utils 恢復到不受該漏洞影響的版本，例如 XZ Utils 5.4.6 Stable。