2024年3月，Linux流行壓縮工具xzUtils(5.6.0和5.6.1版本)曝出名為“XZ后門”的惡意軟件，震驚了全球安全社區(qū)。

　　該后門(如果成功進(jìn)入Linux正式發(fā)行版)允許攻擊者通過SSH身份驗證繞過秘密訪問全球運(yùn)行Linux的關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)并執(zhí)行任意命令，堪稱“核彈級”后門。

　　XZ后門影響范圍廣泛，包括Debian、Ubuntu、Fedora、CentOS等多個主流Linux發(fā)行版(主要為測試和實驗版本)。由于liblzma庫被廣泛應(yīng)用于各類軟件和系統(tǒng)中，因此潛在受影響的系統(tǒng)數(shù)量可能達(dá)到數(shù)百萬臺。

　　以下是受XZ后門影響的Linux發(fā)行版本最新核查清單：

　　Red Hat已確認(rèn)Fedora Rawhide(Fedora Linux的當(dāng)前開發(fā)版本)和FedoraLinux40beta包含存在后門的xz版本(5.6.0、5.6.1)，Red Hat Enterprise Linux(RHEL)版本不受影響。

　　OpenSUSE維護(hù)者表示，openSUSE Tumbleweed和openSUSE MicroOS版本在3月7日至3月28日期間的更新包含了受影響的xz版本，SUSE Linux Enterprise和/或Leap不受影響。

　　Debian穩(wěn)定版本不受影響，受影響的是Debian測試、不穩(wěn)定和實驗版本，Debian維護(hù)者“敦促這些版本的用戶更新xz-utils軟件包”。

　　OffSec證實，在3月26日至3月29日期間更新安裝的Kali Linux用戶會受到影響。

　　一些Arch Linux虛擬機(jī)和容器映像以及安裝介質(zhì)包含受影響的XZ版本。

　　Ubuntu的所有發(fā)行版本均不受影響。

　　Linux Mint不受影響。

　　Gentoo Linux不受影響。

　　Amazon Linux客戶不受影響。

　　Alpine Linux不受影響。

　　檢測工具和腳本匯總

　　XZ后門曝光后，全球安全社區(qū)夜以繼日分析惡意樣本查找攻擊源頭，并不斷推出檢測工具和腳本，以下是最新匯總：

　　Freund檢測腳本。該腳本可以檢測容易遭受XZ后門利用的SSH二進(jìn)制文件，以及檢查系統(tǒng)使用的liblzma庫是否包含后門。

　　https://support.nagios.com/forum/viewtopic.php?p=216847

　　Binarly在線掃描工具。允許用戶上傳任何二進(jìn)制文件進(jìn)行分析，查看是否存在后門植入。

　　https://www.binarly.io/news/binarly-releases-free-detection-tool-for-xz-backdoor

　　Bitdefender掃描工具。需要root權(quán)限才能運(yùn)行(Bitdefender提供了工具源碼)，可以查找受感染的liblzma庫以及識別后門注入的字節(jié)序列。https://www.bitdefender.com.br/consumer/support/answer/27873/

　　YARA規(guī)則。ElasticSecurityLabs的研究人員公布了他們對XZ后門的分析報告，并提供了YARA規(guī)則、檢測規(guī)則以及osquery查詢，供Linux管理員用來發(fā)現(xiàn)可疑的liblzma庫和識別sshd行為異常。

　　https://www.elastic.co/security-labs

　　XZ-Hunter掃描工具。2024年4月10日，安全公司Intezer發(fā)布了一款名為“XZ-Hunter”的工具，可以用于檢測xz后門。該工具可以掃描系統(tǒng)中的所有文件，并識別出被后門感染的文件。

　　https://intezer.com/