漏洞概述

漏洞类型：后门

漏洞等级：严重

漏洞编号：CVE-2024-3094

漏洞评分：10

利用复杂度：中

影响版本：XZ 5.6.0/5.6.1

利用方式：远程

POC/EXP：未公开

2024年3月29日，开发人员Andres Freund在安全邮件列表上报告称，他在调查SSH性能问题时发现了涉及XZ包中的供应链攻击，分析后发现是SSH使用的上游liblzma库被植入了后门代码，可能允许攻击者通过后门非授权访问系统。

XZ Utils 是一款用于压缩和解压缩 .xz 和 .lzma 文件的工具集。XZ Utils 由 Lasse Collin 开发，是一个开源项目，广泛应用于各种操作系统中，受影响开源操作系统可在0eaK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6J5k6i4m8G2L8r3!0Y4P5g2)9J5k6h3!0J5k6#2)9J5c8Y4m8J5L8$3A6W2j5%4c8Q4x3V1k6^5P5W2)9J5c8Y4k6W2M7Y4y4A6L8$3&6K6i4@1f1@1i4@1t1^5i4@1q4p5i4@1f1$3i4K6W2r3i4@1p5#2i4@1f1^5i4@1q4r3i4@1p5J5i4K6u0W2P5s2Z5`. 文件格式是一种基于 LZMA2 压缩算法的文件格式，它提供了比传统 gzip 更高的压缩比，同时保持了相对较高的解压缩速度。XZ Utils v5.6.0和v5.6.1中tar包的编译文件被植入恶意命令。在某些特定编译环境下，恶意命令执行后将替换正常编译过程中的中间文件为后门文件，最后和其他组件一起编译到XZ Utils的Liblzma库文件中。当后门代码被执行时，将挂钩（HOOK）SSHD进程中的SSH登录认证函数。当接收到指定的SSH数据包时，将未授权执行指定的系统命令。

漏洞细节分析

1、植入流程

目前XZ Utils的Github仓库（db9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6@1N6h3E0S2j5h3&6A6i4K6u0V1M7s2u0G2K9X3g2U0N6q4)9J5c8Y4S2*7i4@1g2r3i4@1u0o6i4K6R3&6i4@1f1#2i4@1t1%4i4@1t1J5i4@1f1$3i4K6V1%4i4@1p5H3i4@1f1$3i4@1t1K6i4K6V1#2i4@1f1^5i4@1q4q4i4@1u0r3i4@1f1&6i4K6V1%4i4@1q4q4i4@1f1K6i4K6R3H3i4K6R3J5i4@1f1%4i4@1q4o6i4K6V1@1i4@1f1^5i4K6R3H3i4K6R3#2i4@1f1#2i4K6R3^5i4K6R3$3i4@1f1$3i4K6W2q4i4K6V1H3i4@1f1$3i4K6V1%4i4@1t1$3i4@1f1@1i4@1u0p5i4@1u0r3i4@1f1%4i4K6V1@1i4@1p5^5i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1%4i4K6R3&6i4K6R3^5i4@1f1$3i4K6W2o6i4@1q4o6i4@1f1$3i4K6V1^5i4@1q4r3i4@1f1@1i4@1u0n7i4K6S2q4i4@1f1#2i4K6R3#2i4@1t1$3i4@1f1@1i4@1u0n7i4K6V1$3i4@1f1&6i4K6V1#2i4K6W2o6i4@1f1#2i4K6R3K6i4K6S2r3i4@1f1%4i4@1u0p5i4K6V1I4i4@1f1%4i4@1q4n7i4K6V1&6i4@1f1@1i4@1t1^5i4K6S2n7i4@1f1^5i4@1u0p5i4@1u0p5i4@1f1%4i4K6W2m8i4K6R3@1P5s2A6Q4x3X3b7#2i4K6u0W2y4W2)9J5k6e0q4Q4x3X3g2@1j5i4u0Q4x3X3g2Y4P5W2!0q4x3#2)9^5x3q4)9^5x3W2!0q4y4g2)9^5z5q4)9&6c8q4!0q4y4g2!0m8y4#2)9^5b7W2!0q4y4W2)9^5x3g2!0n7y4W2!0q4y4W2)9^5y4q4)9^5c8W2!0q4y4q4!0n7b7W2!0m8x3#2!0q4y4#2!0m8x3q4)9^5x3g2!0q4y4q4!0n7z5q4!0n7b7W2!0q4z5q4!0m8y4W2)9^5x3g2!0q4y4g2)9&6b7#2!0m8z5q4!0q4y4W2)9&6y4W2)9^5y4#2!0q4y4q4!0n7b7W2!0n7y4X3u0#2K9h3I4V1i4K6u0V1N6r3!0Q4x3X3c8Z5L8%4y4@1i4K6u0W2L8e0c8Q4c8e0c8Q4b7U0S2Q4b7f1c8Q4c8e0y4Q4z5o6m8Q4z5o6t1`.

这条命令拼接后为：sed "r\n" ./tests/files/bad-3-corrupt_lzma2.xz | tr "\t -" " \t-" | xz -d 2> /dev/null，主要从./tests/files/bad-3-corrupt_lzma2.xz中提取代码并解压，最后再执行。

提取出的代码如下：

这部分代码执行后，判断是否为Linux系统，如果不是，则退出。

后面的代码继续从./tests/files/good-large_compressed.lzma文件中提取后续代码，再解压后执行。

提取的代码如下：

提取出的代码较多，主要功能是检测到环境不适合时就退出，不执行植入后门的逻辑；如果环境合适，则继续提取./tests/files/下的文件，然后替换编译的中间过程文件liblzma_la-crc64-fast.o和liblzma_la-crc32_fast.o，最后编译到XZ Utils的库文件Liblzma中。

根据以上提取的代码可知，在如下环境编译将不会植入后门：

1、不是Linux系统(uname不为Linux)
2、没有IFUNC. IFUNC是GLIBC中用于覆盖符号的一个功能
3、不编译动态库(shared object)
4、不是x86_64, 或者target triple结尾不是linux-gnu
5、编译器不是GCC, 或者链接器不是GNU ld
6、从测试文件中解压预编译的二进制文件
7、修改源码和构建脚本

此外，指令集扩展检测函数被替换掉，比原函数多一个参数，作用未知。

2、后门功能

被植入后门的Liblzma库文件被进程加载运行后，将进行一系列环境检查，检查通过再执行后门功能，包括：

1、未设置 TERM 环境变量
2、Argv[0] 需要是 /usr/sbin/sshd
3、LD_DEBUG、LD_PROFILE 未设置
4、需要设置LANG
5、未检测到调试器

通过以上检查后，执行后门核心功能，主要功能是挂钩（HOOK）SSH登录认证过程中的函数RSA_public_decrypt，未授权执行指定的系统命令。即使用指定SSH证书进行登录时，从公钥中提取攻击负载，然后进一步校验，最后使用ChaCha20算法解密，将解密后数据作为命令执行。

部分已分析的函数功能如下：

漏洞检测

1、查看本地系统是否安装了受影响版本的XZ，安全版本为xz<5.6.0，xz --version

2、使用Openwall上发布的脚本检查系统是否被感染后门，后门发现者提供的检测脚本，判断SSHD程序依赖的Liblzma库文件二进制数据中是否包含后门特征码，该特征码为：

set -eu

find path to liblzma used by sshd

path="(ldd(which sshd) | grep liblzma | grep -o '/[^ ]*')"

does it even exist?

if [ "$path" == "" ]
then
echo probably not vulnerable
exit
fi

check for function signature

if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
then
echo probably vulnerable
else
echo probably not vulnerable
fi

f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410，对应植入过程中的liblzma_la-crc64-fast.o文件，对应函数为get_cpuid。

解决方案

官方暂未更新版本或补丁，建议相关用户卸载含后门的版本，回退到未包含后门的稳定版本v5.4.6，并及时关注官方新版本更新。

参考链接

829K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2G2M7r3g2F1N6$3q4D9L8q4)9J5k6h3y4G2L8g2)9J5c8X3I4A6M7%4c8K6i4K6u0r3L8%4y4K6i4K6u0V1M7$3g2U0N6i4u0A6N6s2W2Q4x3V1j5J5x3o6t1@1i4K6u0r3x3o6y4Q4x3V1j5J5z5g2)9J5c8U0b7`.
cebK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6S2j5$3y4W2M7%4y4Q4x3X3g2J5k6h3c8Z5j5i4c8Q4x3X3g2U0L8$3#2Q4x3V1k6K6k6h3y4#2M7X3W2@1P5g2)9J5c8X3y4$3k6g2)9J5c8V1y4h3c8g2)9J5k6o6t1H3x3U0c8Q4x3X3b7K6x3o6V1@1
b4bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2G2M7r3g2F1N6$3q4D9L8q4)9J5k6h3y4G2L8g2)9J5c8X3I4A6M7%4c8K6i4K6u0r3L8%4y4K6i4K6u0V1M7$3g2U0N6i4u0A6N6s2W2Q4x3V1j5J5x3o6t1@1i4K6u0r3x3o6y4Q4x3V1j5J5z5g2)9J5c8U0b7`.
3a8K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4y4@1i4K6u0W2k6$3W2@1K9s2g2T1i4K6u0W2j5$3!0E0i4K6u0r3M7$3#2^5i4K6u0V1M7$3#2^5i4K6u0r3j5e0j5I4x3e0u0V1y4e0b7%4y4K6M7^5y4o6g2V1x3K6R3&6j5X3b7%4x3e0t1$3k6o6k6W2z5h3j5#2x3o6b7`.
d9fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6S2N6X3c8Q4x3X3g2S2L8r3W2&6N6h3&6Q4x3X3g2U0L8$3#2Q4x3V1k6V1k6i4c8S2K9h3I4Q4x3@1k6A6k6q4)9K6c8p5q4h3c8q4)9J5k6o6t1H3x3U0c8Q4x3X3b7K6x3o6V1@1
c48K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6y4K9h3c8S2M7W2)9J5c8Y4S2*7i4K6u0V1j5X3q4U0K9$3c8G2L8%4u0Q4x3X3c8V1L8$3y4#2L8h3g2F1N6r3q4@1K9h3!0F1i4K6u0r3N6$3W2C8K9b7`.`.
edcK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4y4@1i4K6u0W2k6$3W2@1K9s2g2T1i4K6u0W2j5$3!0E0i4K6u0r3K9$3g2W2k6$3q4F1M7Y4W2S2L8W2)9J5c8X3p5$3j5K6t1J5k6e0p5H3y4o6g2W2y4U0N6U0x3e0N6W2z5o6S2S2y4U0l9$3k6r3k6V1k6U0V1#2j5h3f1@1
153K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Q4x3X3g2@1N6h3E0S2j5h3&6A6i4K6u0W2L8%4u0Y4i4K6u0r3i4K6y4r3M7q4)9K6c8s2S2*7i4K6u0W2k6$3W2@1i4K6y4n7j5g2)9K6c8s2y4#2L8h3#2S2M7Y4V1`.

原文链接

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！