今天,微軟發布了有關 XZ Utils 後門漏洞的指南和公告,該漏洞已被識別為 CVE-2024-3094。此安全漏洞的 CVSS 評分為 10.0,有可能影響許多 Linux 發行版,包括 Fedora、Kali Linux、OpenSUSE 和 Alpine,並在全球造成重大影響。
幸運的是,微軟 Linux 開發人員 Andres Freund 及時發現了這個漏洞。他對 SSH(安全外殼)連接埠連接中的 500 毫秒延遲感到好奇,並決定進一步調查,最終揭示了 XZ 檔案壓縮器中隱藏的惡意後門。
目前,VirtusTotal 在總共 63 家安全供應商中僅識別出包括 Microsoft 在內的 4 家安全供應商能夠準確地將漏洞偵測為惡意漏洞。
因此,在這種情況下,微軟工程師敏銳的觀察能力值得被認可,因為其他人很可能不會花時間去調查。這事件也強調了開源軟體容易被惡意個人利用的脆弱性。
如果您擔心,請注意 XZ Utils 版本 5.6.0 和 5.6.1 已外洩。美國網路安全和基礎設施安全局 (CISA) 建議使用先前的安全版本。
根據建議的準則,使用者可以透過以管理員權限在 SSH 中執行以下命令來確認系統上是否存在易受攻擊的軟體:
xz --version
此外,還有可用的第三方掃描和偵測工具。安全研究公司 Qualys 和 Binarly 已公開提供自己的偵測和掃描工具,讓用戶確定他們的系統是否受到影響。
Qualys已發布VULNSIGS最新版本2.6.15-6,該漏洞在QID(Qualys漏洞檢測ID)下被識別為「379548」。
此外,Binarly 最近也推出了免費的 XZ 後門掃描器。該工具旨在識別 XZ Utils 的任何受感染版本,並在檢測時顯示「XZ 惡意植入」偵測通知。
有關該漏洞的其他技術資訊可以在 Binarly 和 Qualys 的網站上找到。兩家公司都發表了討論 XZ Utils 供應鏈難題和 CVE-2024-3094 後門的文章。
發佈留言