漏洞类型
漏洞等级
严重
漏洞编号
CVE-2024-3094
漏洞评分
10
利用繁芜度
中
影响版本
XZ 5.6.0/5.6.1
利用办法
远程
POC/EXP
未公开
2024年3月29日,开拓职员Andres Freund在安全邮件列表上报告称,他在调查SSH性能问题时创造了涉及XZ包中的供应链攻击,剖析后创造是SSH利用的上游liblzma库被植入了后门代码,可能许可攻击者通过后门非授权访问系统。
XZ Utils 是一款用于压缩和解压缩 .xz 和 .lzma 文件的工具集。XZ Utils 由 Lasse Collin 开拓,是一个开源项目,广泛运用于各种操作系统中,受影响开源操作系统可在https://repology.org/project/xz/versions中查询.xz 文件格式是一种基于 LZMA2 压缩算法的文件格式,它供应了比传统 gzip 更高的压缩比,同时保持了相对较高的解压缩速率。XZ Utils v5.6.0和v5.6.1中tar包的编译文件被植入恶意命令。在某些特定编译环境下,恶意命令实行后将更换正常编译过程中的中间文件为后门文件,末了和其他组件一起编译到XZ Utils的Liblzma库文件中。当后门代码被实行时,将挂钩(HOOK)SSHD进程中的SSH登录认证函数。当吸收到指定的SSH数据包时,将未授权实行指定的系统命令。
漏洞细节剖析
1、植入流程
目前XZ Utils的Github仓库(https://github.com/tukaani-project/xz)已无法访问。笔者剖析时利用的版本是从其他镜像网站下载的xz-5.6.1.tar.gz。初始恶意代码紧张在文件build-to-host.m4中。
这条命令拼接后为:sed "r\n" ./tests/files/bad-3-corrupt_lzma2.xz | tr "\t \-_" " \t_\-" | xz -d 2> /dev/null,紧张从./tests/files/bad-3-corrupt_lzma2.xz中提取代码并解压,末了再实行。
提取出的代码如下:
这部分代码实行后,判断是否为Linux系统,如果不是,则退出。
后面的代码连续从./tests/files/good-large_compressed.lzma文件中提取后续代码,再解压后实行。
提取的代码如下:
提取出的代码较多,紧张功能是检测到环境不适宜时就退出,不实行植入后门的逻辑;如果环境得当,则连续提取./tests/files/下的文件,然后更换编译的中间过程文件liblzma_la-crc64-fast.o和liblzma_la-crc32_fast.o,末了编译到XZ Utils的库文件Liblzma中。
根据以上提取的代码可知,在如下环境编译将不会植入后门:
不是Linux系统(uname不为Linux)没有IFUNC. IFUNC是GLIBC中用于覆盖符号的一个功能不编译动态库(shared object)不是x86_64, 或者target triple结尾不是linux-gnu编译器不是GCC, 或者链接器不是GNU ld从测试文件中解压预编译的二进制文件修正源码和构建脚本
此外,指令集扩展检测函数被更换掉,比原函数多一个参数,浸染未知。
2、后门功能
被植入后门的Liblzma库文件被进程加载运行后,将进行一系列环境检讨,检讨通过再实行后门功能,包括:
未设置 TERM 环境变量Argv[0] 须要是 /usr/sbin/sshdLD_DEBUG、LD_PROFILE 未设置须要设置LANG未检测到调试器
通过以上检讨后,实行后门核心功能,紧张功能是挂钩(HOOK)SSH登录认证过程中的函数RSA_public_decrypt,未授权实行指定的系统命令。即利用指定SSH证书进行登录时,从公钥中提取攻击负载,然后进一步校验,末了利用ChaCha20算法解密,将解密后数据作为命令实行。
部分已剖析的函数功能如下:
漏洞检测
1、查看本地系统是否安装了受影响版本的XZ,安全版本为xz<5.6.0,xz --version
2、利用Openwall上发布的脚本检讨系统是否被传染后门,后门创造者供应的检测脚本,判断SSHD程序依赖的Liblzma库文件二进制数据中是否包含后门特色码,该特色码为:
#! /bin/bashset -eu# find path to liblzma used by sshdpath="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]')"# does it even exist?if [ "$path" == "" ]then echo probably not vulnerable exitfi# check for function signatureif hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410then echo probably vulnerableelse echo probably not vulnerablefi
f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410,对应植入过程中的liblzma_la-crc64-fast.o文件,对应函数为get_cpuid。
办理方案
官方暂未更新版本或补丁,建议干系用户卸载含后门的版本,回退到未包含后门的稳定版本v5.4.6,并及时关注官方新版本更新。
参考链接
https://www.openwall.com/lists/oss-security/2024/03/29/4https://access.redhat.com/security/cve/CVE-2024-3094https://www.openwall.com/lists/oss-security/2024/03/29/4https://gist.github.com/smx-smx/a6112d54777845d389bd7126d6e9f504https://avd.aliyun.com/detail?id=AVD-2024-3094https://github.com/Midar/xz-backdoor-documentation/wikihttps://gist.github.com/keeganryan/a6c22e1045e67c17e88a606dfdf95ae4https://git.tukaani.org/?p=xz.git;a=summary
