【漏洞通告】XZ-Utils供应链后门漏洞（CVE-2024-3094）

绿盟科技CERT · 公众号 · · 2024-03-30 14:40

正文

通告编号:NS-2024-0011

2024-03-30

TA G：	liblzma/xz、后门漏洞、CVE-2024-3094
漏洞危害：	攻击者利用此漏洞，可实现SSH未授权访问。
版本：	1.0

漏洞概述

近日，绿盟科技CERT监测到安全社区披露XZ-Utils存在后门漏洞（CVE-2024-3094），CVSS评分10。由于SSH底层依赖了liblzma，攻击者可能利用此漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限，从而执行任意代码。经排查后发现为xz的tarball上游软件包中感染后门程序，该后门在构建过程中从伪装的测试文件中提取.o文件，然后使用提取的文件修改liblzma中特定的函数，导致生成了一个被修改过的liblzma库，任何链接此库的软件都可能使用它拦截并修改与此库的数据交互。该后门程序存在于完整的下载包中，请相关用户尽快采取措施进行排查与防护。

XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件，包含liblzma、xz等组件，已集成在debian、ubuntu、centos等发行版仓库中。

参考链接：

https://www.openwall.com/lists/oss-security/2024/03/29/4

https://access.redhat.com/security/cve/cve-2024-3094

SEE MORE →

2 事件背景

2021年10月，植入后门漏洞的开发者JiaT75开始参与开源压缩库xz的开发，并于2023年接管了项目维护权限，于2024年2月在构建脚本中引入了一个可能允许攻击者未授权访问OpenSSH的隐蔽后门，同时联系Linux发行版维护者，要求将带后门的库打包并分发给最终用户，3月29日某开发人员在分析SSH性能故障时，发现了该供应链攻击活动。

2 影响范围

受影响版本

XZ Utils = 5.6.0 - 5.6.1

注：XZ的Git发行版中暂未发现恶意代码，仅存在于完整的下载包中。
目前已知受影响的Linux发行版：
Fedora Rawhide（开发版本）
Fedora 41
MACOS HomeBrew x64
openSUSE Tumbleweed 及 MicroOS（3月7日至3月28日期间发行）
Kali Linux （3月26日至3月28日期间发行的xz-utils 5.6.0-0.2）
Debian（XZ测试版本5.5.1alpha-0.1 至 5.6.1-1）

不受影响版本