威脅情資

【資安警訊】- 使用 SSHD 連接到系統的用戶當心！因為駭客供應鏈攻擊鎖定 XZ Utils 庫植入隱密後門，多個 Linux 發行版受影響

發佈編號：HC-CTI-2024-04-002

情資來源：iThome

事件類型：攻擊、漏洞警訊公告

內容說明：

研究人員 Andres Freund 在 3 月 29 日揭露 XZ Utils 資料壓縮程式庫被植入後門，同日 Red Hat 也發布相關緊急安全通告，指出 CVE-2024-3094 是 CVSS v3 風險層級滿分 10 分的漏洞，已確定Fedora Rawhide、Fedora 41、Kali Linux、openSUSE Tumbleweed/MicroOS，部分 Debian 版本受影響

今天週六早上，以揭露 Exchange 重大漏洞 ProxyLogon 聞名的臺灣資安研究人員 Orange Tsai，還有其他國內資安社群成員，都在社群平臺發文針對一項關於 SSHD（Secure Shell Daemon）的供應鏈攻擊提出探討與示警。

這是因為，有開發人員 Andres Freund 在 3 月 29 日於 Openwall 公布一起涉及 SSH 伺服器的供應鏈攻擊狀況，並指出問題出在 XZ Utils 資料壓縮程式庫被植入後門，另也說明 Red Hat 已將此漏洞指派為 CVE-2024-3094，且給出 CVSS v3 風險層級滿分 10 分。

此事件影響廣泛，Andres Freund 表示，他是在調查 SSH 登入變慢相關問題時，最初以為發現 debian 裡面的套件包被入侵，但事實上是來自上游的問題，XZ 程式庫與 XZ 的 tarball 檔案被植入後門，也就是一樁軟體供應鏈攻擊事件。

這也再次顯現開源軟體供應鏈安全的重要性，目前已有許多研究人員正追查其攻擊手法，以及本次事件提交 Commit 的 GitHub 帳號，並指出其手法複雜且相當難以察覺。

關於此次後門的影響，在 Red Hat 發布的緊急安全通告中也有說明，惡意程式碼修改了 XZ Utils 套件中名為 liblzma 部分程式碼的功能，這也導致每一軟體連結到 XZ Utils，並允許變更與程式庫一起使用的資料，都會受到影響。而 Freund 所觀察到的例子，在某些特定條件下，這個後門可讓攻擊者繞過 SSHD 的身分認證機制，進而針對受影響的系統做到未經授權的存取。

至於有哪些版本受影響，以 XZ Utils 資料壓縮程式庫而言，Andres Freund 指出受影響的版本是 XZ Utils 的 5.6.0 和 5.6.1；以其他使用 XZ Utils 的軟體系統而言，目前已確認多個 Linux 發行版本受影響，包括：Fedora Rawhide、Fedora 41、Kali Linux、openSUSE Tumbleweed 與 openSUSE MicroOS，以及部分 Debian 版本。

美國 CISA 也已經對此提出警告，並建議開發人員與使用者可先將 XZ Utils 降級、恢復到未被入侵的版本，如 XZ Utils 5.4.6 穩定版。同時用戶也該進行事件回應、清查入侵狀況，以確定是否可能已經受到後門的影響。

影響平台：

XZ Utils 資料壓縮程式庫受影響的版本是