文章摘要
【关 键 词】 开源后门、安全风险、Linux系统、恶意代码、安全研究
开源软件xz的后门事件在安全界引起了巨大震动。这个后门通过恶意代码植入,差点影响了广泛使用的Linux系统。幸运的是,由于攻击者的疏忽,这个后门及时被发现,没有造成严重后果。然而,如果没有及时发现,后果将不堪设想。
微软的安全研究员Andres Freund首次报告了这一事件,发现xz Utils工具的5.6.0和5.6.1版本中含有恶意代码。这段代码由用户Jia Tan通过GitHub提交植入Tukaani项目中,使得攻击者可以通过SSHD直接访问系统。GitHub已经禁用了XZ Utils代码库,并且目前没有收到漏洞被利用的报告。
这个后门的发现引起了安全社区的广泛讨论。证据显示,这些软件包只存在于Fedora 41和Fedora Rawhide中,不影响其他主流Linux版本。但Red Hat和Debian报告称,最近发布的测试版中使用了这些版本,尤其是在Fedora Rawhide和Debian的测试、不稳定及实验版本中。Arch Linux的一个稳定版本也受到了影响,但并未应用于实际生产系统中。macOS的HomeBrew包管理器中的多个应用也依赖于被植入后门的xz Utils,但HomeBrew已经回滚至安全版本。
安全公司Analygence的高级漏洞分析师Will Dormann表示,这个问题实际上并没有对现实世界造成影响,这主要是因为恶意行为者疏忽导致问题被早期发现。Jia Tan是xz Utils项目的两位主要开发者之一,但现在看来,他的行为可能是主观恶意的。
技术分析显示,后门代码被注入到OpenSSH服务器中,劫持了RSA_public_decrypt函数,并使用硬编码的密钥对数据进行解密和验证。如果数据有效,将以shell命令的形式被执行;如果无效,则恢复到原始实现,使得除攻击者外无法通过网络发现易受攻击的机器。
攻击者展现出超乎寻常的耐心和决心,花费了两年多的时间通过提交代码建立起可信任维护者的形象。Jia Tan自2021年起为多个项目做出贡献,逐步为攻击做好准备。他在XZ项目中的一系列关键更改为后续的攻击铺平了道路。他还在oss-fuzz项目中提交了请求,关闭了特定的错误检测方式,以防止oss-fuzz发现XZ项目中的恶意代码。
除了XZ项目,攻击者账户的其他代码贡献也在调查中。libarchive和oss-fuzz项目中已经发现了可疑代码,表明攻击者可能在其他项目中也植入了恶意代码。这次事件再次提醒了开源社区和安全专家对软件供应链安全的重要性和潜在风险。
原文和模型
【原文链接】 阅读原文 [ 2400字 | 10分钟 ]
【原文作者】 新智元
【摘要模型】 gpt-4
【摘要评分】 ★★★★★
相关文章
