liblzma/xz官方库被植入后门

安全 PRO 稿源：微步在线 2024-03-30 16:37

xz是一种通用的数据压缩格式，几乎存在于每个Linux发行版中，无论是社区项目还是商业产品发行版。从5.6.0版本开始，在xz的上游tarball包中发现了恶意代码。通过一系列复杂的混淆手段，liblzma的构建过程从伪装成测试文件的源代码中提取出预构建的目标文件，然后用它来修改liblzma代码中的特定函数。这导致生成了一个被修改过的liblzma库，任何链接此库的软件都可能使用它，从而拦截并修改与此库的数据交互。

2024年3月28日，Ubuntu注意到一个上游的漏洞影响了xz-utils源代码包。受影响的库已经从Ubuntu 24.04 LTS预发布构建中移除。

3月29日，微软PostgreSQL开发人员Andres Freund在调查SSH性能问题时，在开源安全邮件列表中发帖称，他在xz软件包中发现了一个涉及混淆恶意代码的供应链攻击。据Freund和RedHat称，Git版的xz中没有恶意代码，只有完整下载包中存在。

xz 5.6.0和5.6.1版本库中存在的恶意注入只包含在tarball下载包中。注入期间构建时使用的第二阶段工件存在于Git存储库中，以防存在恶意的M4宏。如果不合并到构建中，第二阶段文件是无害的。在发现者的演示中，发现它干扰了OpenSSH守护进程。虽然OpenSSH没有直接链接到liblzma库，但它以一种使其暴露于恶意软件的方式与systemd通信，因为systemd链接到了liblzma。在适当的情况下，这种干扰有可能使恶意行为体破坏sshd认证，并远程未经授权访问整个系统。

截至3月30日，尚未观察到利用此后门代码的情况。关于该漏洞的利用细节目前还未明确，微步情报局将继续深入跟进该事件，有进一步进展会随时更新。

影响范围

xz 和 liblzma 5.6.0~5.6.1 版本，可能包括的发行版 / 包管理系统有：

Fedora 41 / Fedora RawhideDebian SidAlpine Edgex64 架构的 homebrew

滚动更新的发行版，包括 Arch Linux / OpenSUSE Tumbleweed

如果您的系统使用 systemd 启动 OpenSSH 服务器，您的 SSH 认证过程可能被攻击。非 x64 (amd64) 架构的系统不受影响。

排查建议

1、排查软件版本是否在受影响范围内

您可以在命令行输入 xz --version 来检查 xz 版本，如果输出为 5.6.0 或 5.6.1 ，说明您的系统可能已被植入后门。

另外需要注意的是，xz 5.6.0 和 5.6.1 尚未被集成进Linux 发行版中，目前主要是在预发布版本中。除此之外，大部分的Linux发行版本中的openssh并不直接使用liblzma，目前已知的只有debian和一些openssh的补丁直接使用了liblzma。检测是否被植入后门请使用自查方法中的检测脚本。

2、如果相关版本在受影响范围内，利用如下自查脚本排查是否存在后门：

#! /bin/bash

set -eu

# find path to liblzma used by sshd
path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"

# does it even exist?
if [ "$path" == "" ]
then
echo probably not vulnerable
exit
fi

# check for function signature
if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
then
echo probably vulnerable
else
echo probably not vulnerable
fi