吳明宜上周一隻後門程式被發現植入開原碼壓縮程式 XZ Utils,讓許多 Linux 或 macOS 再次曝露於軟體供應鏈攻擊風險下。
微軟工程師 Andres Freund 發現到,XZ Utils 內含一段惡意程式碼,在執行時會修改 XZ Utils 套件的 liblzma 函式庫,可讓未經授權的攻擊者得以存取所在系統。 Red Hat 將此問題列為漏洞 CVE-2024-3094,風險值為滿分的 10 分。
Red Hat 解釋,經過變更的 liblzma 函式庫可被任何連結函式庫的軟體使用,並攔截、修改和函式庫的資料互動。該後門程式會透過 systemd 介入 sshd 驗證過程,借道服務,讓攻擊者經由 SSH 協定遠端存取系統。
XZ Utils 是壓縮、解壓縮.xz 檔案的指令行工具,不只用於眾多 Linux 版,也和其他函式庫高度相依,這使得眾多軟體皆在此次供應鏈攻擊中曝險。安全專家 Kevin Beaumont 指出,執行 OpenSSH 的 IP 連線要比 RDP 協定多 10 倍。若有人成功在開原碼專案導入這後門程式,後果將不堪設想。
另一名微軟工程師 Thomas Roccia 發現,一名為 Jia Tan 的開發人員 2021 年開發了後門程式,2023 年成為 XZ Utils 維護人員後,今年三月修改 XZ Utils 函式庫,加入惡意程式碼。然後他還申請成為 Linux 核心模組維護人員,負責解壓縮工具 XZ Embedded 。他甚至也有權存取 XZ Embedded 的 GitHub 程式庫。不過還好他尚未能存取專案網站、 Git 程式庫和相關檔案,因此並未將惡意程式碼上傳到公共程式碼庫。
Jia Tan 的 GitHub 帳號已遭停權。
遭到感染的 XZ Utils 為 2024 年 2 月發行的 5.6.0 版本。 XZ Utils 維護機構已釋出 5.6.1 版修正問題。此外,若退回到 5.4.x 版,也能去除該後門程式。
美國 CISA 建議開發人員及用戶應將 XZ Utils 降級,再掃瞄系統是否有任何惡意活動。
內建 XZ Utils 的 Linux 發行版在周末急忙自我檢查。受這問題影響的發行版包括 Fedora Rawhid 和 Fedora Linux 40 beta 版、 openSUSE Tumbleweed 及 openSUSE MicroO 、 Kali Linux 及 Arch Linux 。但 Red Hat Enterprise Linux 是安全的。
Debian 和 Ubuntu 也表示沒有任何穩定版本包含被污染的套件,Amazon Linux 、 Alpine Linux 、 Gentoo Linux 與 Linux Mint 都是全身而退。
一群安全研究人員公佈可掃瞄系統是否包含惡意函式庫的腳本程式。