潜伏三年，只为注入后门，差点通杀

来自公众号： 信安之路

近日更新了一个 CVE 漏洞，XZ-Utils 5.6.0/5.6.1版本后门风险（CVE-2024-3094），来自阿里云漏洞库的介绍如图：

这个后门并非作者无意间编写加入，也不是引入存在后门的库文件而导致的问题，而是有人经过三年的潜伏，积极参与该项目的维护，在逐渐获得信任之后，获得了直接 commit 代码的权限，之后悄无声息的将后门代码注入其中。

这个事件算是一个典型的 APT 攻击事件，结合了社会工程学，实现了典型的供应链攻击，5.6.0 发布在 2 月下旬、5.6.1 发布在 3 月 9 日，一共存活不到两个月，发现者是 PostgreSQL 开发人员兼软件工程师 Andres Freund 意外发现，下面是 Debain 只能够更新的记录：

起因是登录 SSH 后，出现了 CPU 使用率过高，还有很多的 valgrind 错误，经过排查发现最近几周安装了 liblzma（xz 软件包的一部分），最终确定 xz 的 tarball 被设置后门，目前该项目的库已经被禁止访问（具体的恶意代码无从查看）：

本次事件，好在这两个版本并没有被 Linux 发行版广泛集成，大部分在预发行版中，目前已知的几款系统存在问题，如下：