• 本文作者: 天融信安全应急响应中心
  • |
  • 2024年7月17日
  • |
  • 技术文章
  • |

XZ Utils(CVE-2024-3094) 供应链投毒深度分析

事件概述

近日,微软一名软件工程师Andres Freund公开披露,其观察到liblzma库存在一些奇怪的现象,包括在用ssh远程登录异常及内存错误。经过分析,其确认在liblzma上游组件xz-utils中存在后门代码,后门或可导致攻击者能够在ssh登录认证前,执行攻击者指定的任意代码,可对Linux服务器安全造成严重影响。

综合情况看,这是一起开源软件供应链投毒攻击事件。攻击者伪装成开发者,借更新之名,秘密的向xz-utils中加入后门代码,导致xz-utils中的liblzma易受攻击。

OpenSSH用于SSH登录,广泛部署于基于Linux发行的操作系统中。其默认不依赖liblzma,但是部分Linux发行版会对OpenSSH进行二次开发而导致其默认加载LibSystemd,而LibSystemd默认加载liblzma。就这样,OpenSSH间接的因xz-utils的投毒而变得易受攻击,在认证前可执行攻击者发送的恶意代码。 天融信对该漏洞及相关事件的详细分析情况如下。

 

影响

liblzma/xz官方库遭到供应链攻击,并被恶意篡改以植入后门。xz主要功能是提供数据压缩和解压缩功能,集成了liblzma等组件。部分linux操作系统ssh的底层实现中间接引用了liblzma,常见的如Red Hat、Debian、Kali Linux、Arch Linux、SUSE、Alpine Linux。

xz-utils 分为 liblzma 和 xz 两部分。xz 是一个单文件压缩软件,采用了压缩率高的 LZMA 算法,在 Linux 中被广泛使用。liblzma 是 LZMA 算法的实现,被应用于 systemd 等多个 Linux 系统和应用软件。

OpenSSH 是一个用于安全远程访问的开源软件套件,它提供了加密的通信会话,以及在网络上安全地传输文件的工具。OpenSSH 实现 SSH 协议进行远程登录的连接工具。恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。

影响版本

xz == 5.6.0

xz == 5.6.1

liblzma== 5.6.0

liblzma== 5.6.1

影响情况

当前的情况显示,该漏洞在”投毒”初期便被发现并披露,影响部分系统及服务,尚未大面积扩散。运维及管理人员仍需重视该事件,尽快检查及处置。

投毒方式

时间线梳理

xz-utils 有两名维护者:Lasse Collin (昵称Larhzu)和 JiaT75(昵称Jia Tan),其中 Lasse Collin 自从 2009 年以来一直维护着 XZ-Utils 库,JiaT75则是本次事件的聚焦点之一,其在2021年注册后的11月16日向libarchive(与xz无关)进行了第一次pr,添加了一个未打印的详情错误,这个过程中,将原本的safe_fprintf更改为了unsafe fprintf。

2

从Mail Archive(xz项目的邮件沟通记录)来看,其最早于2021年10月29日尝试向xz提交代码。13

2022年5月19日开始,ID“Jigar Kumar”和“Dennis Ens”持续对Lasse Collin进行施压,希望选取新的项目开发者来加快更新速度。

4

5

在之后的时间里,Jia Tan逐渐获得了项目所有者Lasse Collin的信任,拥有自行提交代码的权力,GitHub上的项目最早提交记录可以追溯到2022年2月7日,此时的提交应该还是原作者参与审核的阶段。

6

2022年的12月30日开始,JiaT75有了独自提交代码的能力。

7

2023年6月23日,GitHub用户“hansjans162”向xz提交了ifunc 解析器替换掉 crc32 模块功能,猜测此ID可能为攻击者另一帐号,并且此ID和在其后的催促debian更新的邮件发送者相同。

8

2024年的2月15日的提交中,JiaT75将包含恶意编译代码的文件“build-to-host.m4”添加到.gitignore 文件中,此时该文件将不会被上传到git。

9

直到2024年2月23日时,JiaT75开始向xz投递了带有恶意载荷文件bad-3-corrupt_lzma2.xz和good-large_compressed.lzma,其自称,文件中包含了一些测试用的“随机数据”,和一些无法被解压的“损坏数据”。为了更好地隐蔽恶意载荷,其中大多数测试数据都是正常无害的。

10

2024年2月24日时,JiaT75发布了5.6.0版本,在这个版本中,其添加了恶意构建文件“build-tohost.m4”,但是该文件并不存在于GitHub源代码仓库中,而是存在于其releases版本中(https://web.archive.org/web/20240226100419/https://github.com/tukaani-project/xz/releases/download/v5.6.0/xz-5.6.0.tar.gz),其后该版本tarball(打包文件)随即被Debian添加到不稳定版。在编译脚本“build-tohost.m4”中,特定条件下会从bad-3-corrupt_lzma2.xz和good-large_compressed.lzma这两个文件中读取内容对.o文件进行修改,致使编译结果和公开的源代码不一致完成供应链攻击。

11

2024年2月26日时,JiaT75修改了CMakeLists.txt文件,在其中添加了一个毫不起眼的“.”来绕过了Linux Landlock 检查。因为其编译过程会出错导致得到的结果和预想的不一致。

12

2024年3月9日时,JiaT75发布了5.6.1版本,改进了原来的恶意载荷文件,这次则增加了检查脚本判断是否在Linux上运行。

13

在2024年3月20日日,jia tan还在尝试向Linux内核提交代码更新功能(暂未发现直接的恶意代码),并且该代码已进入Linux-next,事发后被叫停。

14

上游新版本发布后,JiaT75则开始了积极策划使其再次进入Linux发行版,如下图的Ubuntu。

15

如下图的debian,ID“hansjans162”和前面的ifunc提交相同。

16

投毒者信息

此次提交恶意文件的用户从提交日志来看有如下其他用户名。

$ git shortlog –summary –numbered –email | grep jiat0218@gmail.com

273 Jia Tan <jiat0218@gmail.com>

2 jiat75 <jiat0218@gmail.com>

1 Jia Cheong Tan <jiat0218@gmail.com>

如果GitHub账户jiat75是这次的事件次精心策划者的话,从其使用的用户名Jia Tan和GitHub 提交时间来看(东八时区),可能有意伪造相关身份来证明其是位于东亚。不过又有新的观点认为其是欧州人/以色列人冒充的中国人,支撑点有如下三个。

  1. 提交记录的时区信息:观察到此人有在东二时区(冬季)和东三时区(夏季)的提交记录,这与欧洲/以色列地区实行的夏令时制度相吻合,而不是一直在东八时区(中国时区)。
  2. 时区之间的快速切换:在2022年10月6日,此人在不到10小时内,先后在东八时区和东三时区提交代码,这几乎排除了他在这短时间内实际从中国移动到欧洲的可能性。
  3. 假日提交记录的差异:此人在中国的重要农历假日(如中秋节、清明节、春节)有提交记录,但在欧洲的主要节日(如圣诞节和新年)却没有提交记录。

目前从整理出的全部信息来看,还无法确定JiaT75究竟是个人还是组织。

源码分析

编译恶意的liblzma.so文件

由于阶段三中执行的good-large_compressed.sh脚本会检查源代码目录下是否存在/debian/rules文件,可以选择debian的xz-utils源码进行编译,或者在上游xz-utils源码创建这样一个文件后,就能成功编译包含后门代码的liblzma.so库。

debian的xz-utils v5.6.0-0.2的链接如下所示。

https://salsa.debian.org/debian/xz-utils/-/tree/debian/5.6.0-0.2?ref_type=tags

阶段一

在构建xz-utils的过程中,通过执行源代码根目录下的configure脚本生成Makefile文件时,会执行build-to-host.m4文件中的宏。此文件中的宏代码用于对./tests/files/bad-3-corrupt_lzma2.xz文件进行修复,解压,然后获得用于阶段二执行的脚本代码(命名为bad-3-corrupt_lzma2.sh)并执行。build-to-host.m4文件中的关键代码如下所示。

对bad-3-corrupt_lzma2.xz文件的修复是通过tr “\t \-_” ” \t_\-”命令实现的,其过程如下所示:

通过对build-to-host.m4文件中的宏代码的理解,可以手动修复bad-3-corrupt_lzma2.xz文件,并获得阶段二执行的bad-3-corrupt_lzma2.sh脚本。

阶段二

阶段二执行的bad-3-corrupt_lzma2.sh脚本的内容如下所示。

bad-3-corrupt_lzma2.sh脚本的内容进行了一定程度的混淆,对其进行分解,可获得以下步骤。

 

第2步对good-large_compressed.lzma文件解压后的文件进行处理,首先通过“head -c +1024 >/dev/null”命令将该文件的前1024字节数据丢弃,然后通过“head -c +2048”命令将该文件前1024字节之后的2048字节数据输出到标准输出,以此模式,不断循环,直到将所有无用数据剔除,只留下有效的数据,以待第3步继续处理。所以,good-large_compressed.lzma文件解压后的文件中的数据是无用数据与有用数据交叉分布的。

由上可知,bad-3-corrupt_lzma2.sh脚本用于解压good-large_compressed.lzma文件,然后对解压后的文件进行处理,获得另一个压缩包。对其解压后,获得阶段三执行的脚本(命名为good-large_compressed.sh)。

可以对bad-3-corrupt_lzma2.sh文件做一些修改,以独立获得good-large_compressed.sh

阶段三

阶段三执行的good-large_compressed.sh脚本会执行两次,第一次用来修改/src/liblzma文件夹下的Makefile,在源代码根目录下,使用阶段二的bad-3-corrupt_lzma2.sh脚本对good-large_compressed.lzma文件进行处理并执行。第一次执行good-large_compressed.sh脚本时,会对/src/liblzma文件夹下的Makefile进行修改,其中包含第二次执行good-large_compressed.sh脚本的命令。第二次用来从good-large_compressed.lzma文件中提取出恶意的liblzma_la-crc64-fast.o目标文件,并对/src/liblzma/check/文件夹下的crc64_fast.c和crc32_fast.c文件的内容做一些修改,然后用恶意的liblzma_la-crc64-fast.o文件替换原始的liblzma_la-crc64_fast.o文件,继续完成接下来的编译链接过程,最终生成恶意的liblzma.so文件。

第一次执行的good-large_compressed.sh脚本中的主要代码如下所示。

此步骤会对当前环境进行一些检测,是否支持glibc的IFUNC特性,以及构建的可执行文件是否是x86_64架构的。除此之外,还会检测源代码项目中是否存在/debian/rules文件或$RPM_ARCH环境变量是否设置为x86_64,只有通过检测,才会修改/src/liblzma/Makefile文件的内容。所以,包含后门的xz-utils项目只能在特定环境下,才能成功构建。

向/src/liblzma/Makefile文件中写入内容的关键部分如下所示。

这部分内容用于在通过make命令构建整个项目时,第二次执行good-large_compressed.sh脚本。

第二次执行的good-large_compressed.sh脚本中的主要代码如下所示。

此步骤会从good-large_compressed.lzma文件中提取出预构建的恶意liblzma_la-crc64-fast.o目标文件,并对/src/liblzma/check/目录下crc64_fast.c和crc32_fast.c中的内容进行修改,修改的内容如下所示。

此修改将crc64_resolve()和crc32_resolve()函数中调用的is_arch_extension_supported()函数替换为_is_arch_extension_supported()函数,并在_is_arch_extension_supported()函数中调用了恶意liblzma_la-crc64-fast.o目标文件中定义的_get_cpuid()函数(一个下划线),而原有的is_arch_extension_supported()函数会调用由gcc实现的__get_cpuid()函数(两个下划线)。_get_cpuid()函数就是对后门进行初始化的入口函数,在此过程中,会修改sshd进程的RSA_public_decrypt()函数的GOT表条目。

后门代码工作原理

上游的OpenSSH不依赖liblzma库,但是debian和其他几个Linux发行版对上游的OpenSSH进行了修改,引入了libsystemd库,使其支持systemd通知。libsystemd库依赖于liblzma库,所以,sshd进程也间接依赖于liblzma库。可通过如下命令,查看当前系统中的sshd进程是否依赖于liblzma库。

当存在后门的liblzma.so库编译成功后,可以通过如下命令测试后门代码是否成功加载。

第一条命令成功加载了后门代码,第二条命令未成功加载,加载了后门代码的sshd进程的启动速度较慢。后门代码还会通过检测以下条件,判断是否执行后门代码。

1、未设置TERM、LD_DEBUG、LD_PROFILE环境变量,设置了LANG环境变量。

2、argv[0]为/usr/sbin/sshd。

GNU IFUNC​

GNU IFUNC(GNU Indirect Function)是GNU工具链的一项功能,它允许开发人员为给定函数创建多个实现,并在运行时使用同样由开发人员编写的解析器函数进行选择。

IFUNC特性虽然为程序的性能优化和平台兼容性提供了更多的可能性,但也存在被恶意利用的风险,其主要的安全隐患包括:劫持函数、绕过安全措施、隐藏攻击载荷。

xz-utils源码中的crc64_fast.c和crc32_fast.c文件中的crc64_resolve()和crc32_resolve()函数为liblzma实现的IFUNC解析器。当加载liblzma.so共享库时,这些IFUNC解析器函数会很早就得到执行。

处置情况

排查方式一

用户可以通过以下命令检查系统中安装的xz-utils软件包的版本:

xz –version

17

排查方式二

修复建议

若确认受影响,请将xz降级至 5.4.6 版本。

产品支持

目前天融信脆弱性扫描与管理系统已紧急更新XZ-Utils 5.6.0/5.6.1版本后门事件预警(CVE-2024-3094)漏洞检查插件,帮助客户进行漏洞排查。

天融信脆弱性扫描与管理系统针对此漏洞的规则库更新如下图:

18

天融信脆弱性扫描与管理系统针对该漏洞检查结果如下图所示 :

19

按照如下步骤对插件库进行升级和漏洞扫描:

在线自动升级,在“超级管理员”账号【系统管理】→【插件库升级】→【立即更新】→立即升级。

创建漏洞扫描任务,扫描完成后查看报告,如存在该漏洞,可按照报告中的修复建议进行“补缺”。

参考链接:

https://mp.weixin.qq.com/s/Z5NsI9_l_nFxLHwPVU2gnQ

https://jfrog.com/blog/xz-backdoor-attack-cve-2024-3094-all-you-need-to-know/

https://www.zhihu.com/question/650826484/

https://github.com/bminor/xz/

https://repology.org/project/xz/versions

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

https://www.openwall.com/lists/oss-security/2024/03/29/4

 

 

 

 

 

 

 

 

 

 

 

 

 

Written by 天融信安全应急响应中心