https://www.ithome.com.tw/news/162040
使用SSHD連接到系統的用戶當心！因為駭客供應鏈攻擊鎖定XZ Utils庫植入隱密後門，多個Linux發行版受影響
研究人員Andres Freund在3月29日揭露XZ Utils資料壓縮程式庫被植入後門，同日Red Hat也發布相關緊急安全通告，指出CVE-2024-3094是CVSS v3風險層級滿分10分的漏洞，已確定Fedora Rawhide、Fedora 41、Kali Linux、openSUSE Tumbleweed/MicroOS，部分Debian版本受影響
文/羅正漢 | 2024-03-30發表
今天週六早上，以揭露Exchange重大漏洞ProxyLogon聞名的臺灣資安研究人員Orange Tsai，還有其他國內資安社群成員，都在社群平臺發文針對一項關於SSHD的供應鏈攻擊提出探討與示警。
這是因為，研究人員Andres Freund在3月29日於Openwall公布一起涉及SSH伺服器的供應鏈攻擊狀況，並指出問題出在XZ Utils資料壓縮程式庫被植入後門，另也說明Red Hat已將此漏洞指派為CVE-2024-3094，且給出CVSS v3風險層級滿分10分。
此事件影響廣泛，Andres Freund表示，他是在調查SSH登入變慢相關問題時，最初以為發現debian裡面的套件包被入侵，但事實上是來自上游的問題，XZ程式庫與XZ的tarball檔案被植入後門，也就是一樁軟體供應鏈攻擊事件。這也再次顯現開源軟體供應鏈安全的重要性。
關於此次後門的影響，在Red Hat發布的緊急安全通告中也有說明，惡意程式碼修改了XZ Utils套件中名為liblzma部分程式碼的功能，這也導致每一軟體連結到XZ Utils，並允許變更與程式庫一起使用的資料，都會受到影響。而Freund所觀察到的例子，在某些特定條件下，這個後門可讓攻擊者繞過SSHD（Secure Shell Daemon）的身分認證機制，進而針對受影響的系統做到未經授權的存取。
至於有哪些版本受影響，以XZ Utils資料壓縮程式庫而言，Andres Freund指出受影響的版本是XZ Utils的5.6.0和5.6.1；以其他使用XZ Utils的軟體系統而言，目前已確認多個多個Linux發行版本受影響，包括：Fedora Rawhide、Fedora 41、Kali Linux、openSUSE Tumbleweed與openSUSE MicroOS，以及部分Debian版本。
美國CISA也已經對此提出警告，並建議建議開發人員與使用者可先將XZ Utils降級、恢復到未被入侵的版本，如XZ Utils 5.4.6穩定版。同時用戶也該進行事件回應、清查入侵狀況，以確定是否可能已經受到後門的影響。

https://youtu.be/OHAyf0qwdCs?si=hRjgJO7mfQBnqNYE看起來頗嚴重https://news.ycombinator.com/item?id=39877267

微軟員工發現的後門。疑似中國人用印尼的跳板上的 commit是說那傢伙參與了很多的 opensource project所以可能有不少東西要檢查一下有沒有被加料吧

植入後門的JiaT75布局了三年，很有耐性，恐怖

jia775出來打球打錯，JiaT75，Github已經把他帳號封了

太狠了，這麼基本的lib居然會被加料

恐怕跟解放軍有關係吧

差一點就塞進去Ubuntu 24.04 LTS了不然目前主流長期支援版本還沒有用這麼新的xz utils我用的mageia因為人手不足 開發版本還停在5.4.6...

好險 Debian 12 的版本還停留在 5.4.1

mageia 好久沒聽到它了有網友去分析JiaT75的貢獻紀錄作息，推測他可能是東歐人聖誕連假休息，但農曆年等華人節目還是工作

Jia Tan 看起來很中文就是 XDJia Cheong Tan。名字也有可能假的就是

都花這麼大的功夫 弄個假名只是順便而已了

沒事 先往中國解放軍身上扯就對了 都是對岸的錯

還刻意強調沒有國家贊助，超可疑 XDDD

此地無銀

好險arch很久以前就改成zstd了

WIRED的報導中有專家意見認為主謀最可能還是俄國APT29因為手法比中國和北韓的團體精細許多

俄羅斯也滿有可能，應該就是東歐跟俄羅斯那時區的人做的

俄 是全民教育包含程設，所以意外的資訊人才多(有點跟印度一樣，翻身的機會)

懷疑是俄羅斯是北韓是CIA是以色列都可以 但只有提到解放軍就會有人不爽 真是奇怪

政治腦不爽正常

那個X帳號是parody account吧