2024年3月，Linux流行壓縮工具xzUtils（5.6.0和5.6.1版本）曝出名為“XZ后門(mén)”的惡意軟件，震驚了全球安全社區(qū)。

該后門(mén)（如果成功進(jìn)入Linux正式發(fā)行版）允許攻擊者通過(guò)SSH身份驗(yàn)證繞過(guò)秘密訪問(wèn)全球運(yùn)行Linux的關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)并執(zhí)行任意命令，堪稱(chēng)“核彈級(jí)”后門(mén)。

XZ后門(mén)影響范圍廣泛，包括Debian、Ubuntu、Fedora、CentOS等多個(gè)主流Linux發(fā)行版（主要為測(cè)試和實(shí)驗(yàn)版本）。由于liblzma庫(kù)被廣泛應(yīng)用于各類(lèi)軟件和系統(tǒng)中，因此潛在受影響的系統(tǒng)數(shù)量可能達(dá)到數(shù)百萬(wàn)臺(tái)。

以下是受XZ后門(mén)影響的Linux發(fā)行版本最新核查清單：

• Red Hat已確認(rèn)Fedora Rawhide（Fedora Linux的當(dāng)前開(kāi)發(fā)版本）和FedoraLinux40beta包含存在后門(mén)的xz版本（5.6.0、5.6.1），Red Hat Enterprise Linux(RHEL)版本不受影響。
• OpenSUSE維護(hù)者表示，openSUSE Tumbleweed和openSUSE MicroOS版本在3月7日至3月28日期間的更新包含了受影響的xz版本，SUSE Linux Enterprise和/或Leap不受影響。
• Debian穩(wěn)定版本不受影響，受影響的是Debian測(cè)試、不穩(wěn)定和實(shí)驗(yàn)版本，Debian維護(hù)者“敦促這些版本的用戶(hù)更新xz-utils軟件包”。
• OffSec證實(shí)，在3月26日至3月29日期間更新安裝的Kali Linux用戶(hù)會(huì)受到影響。
• 一些Arch Linux虛擬機(jī)和容器映像以及安裝介質(zhì)包含受影響的XZ版本。
• Ubuntu的所有發(fā)行版本均不受影響。
• Linux Mint不受影響。
• Gentoo Linux不受影響。
• Amazon Linux客戶(hù)不受影響。
• Alpine Linux不受影響。

檢測(cè)工具和腳本匯總

XZ后門(mén)曝光后，全球安全社區(qū)夜以繼日分析惡意樣本查找攻擊源頭，并不斷推出檢測(cè)工具和腳本，以下是最新匯總：

• Freund檢測(cè)腳本。該腳本可以檢測(cè)容易遭受XZ后門(mén)利用的SSH二進(jìn)制文件，以及檢查系統(tǒng)使用的liblzma庫(kù)是否包含后門(mén)。
  https://support.nagios.com/forum/viewtopic.php?p=216847
• Binarly在線掃描工具。允許用戶(hù)上傳任何二進(jìn)制文件進(jìn)行分析，查看是否存在后門(mén)植入。
  https://www.binarly.io/news/binarly-releases-free-detection-tool-for-xz-backdoor
• Bitdefender掃描工具。需要root權(quán)限才能運(yùn)行（Bitdefender提供了工具源碼），可以查找受感染的liblzma庫(kù)以及識(shí)別后門(mén)注入的字節(jié)序列。https://www.bitdefender.com.br/consumer/support/answer/27873/
• YARA規(guī)則。ElasticSecurityLabs的研究人員公布了他們對(duì)XZ后門(mén)的分析報(bào)告，并提供了YARA規(guī)則、檢測(cè)規(guī)則以及osquery查詢(xún)，供Linux管理員用來(lái)發(fā)現(xiàn)可疑的liblzma庫(kù)和識(shí)別sshd行為異常。
  https://www.elastic.co/security-labs
• XZ-Hunter掃描工具。2024年4月10日，安全公司Intezer發(fā)布了一款名為“XZ-Hunter”的工具，可以用于檢測(cè)xz后門(mén)。該工具可以掃描系統(tǒng)中的所有文件，并識(shí)別出被后門(mén)感染的文件。
  https://intezer.com/