微軟員工意外挽救了 CVE-2024-3094 XZ 後門導致的全球 Linux 崩潰

今天，微軟發布了有關 XZ Utils 後門漏洞的指南和公告，該漏洞已被識別為 CVE-2024-3094。此安全漏洞的 CVSS 評分為 10.0，有可能影響許多 Linux 發行版，包括 Fedora、Kali Linux、OpenSUSE 和 Alpine，並在全球造成重大影響。

幸運的是，微軟 Linux 開發人員 Andres Freund 及時發現了這個漏洞。他對 SSH（安全外殼）連接埠連接中的 500 毫秒延遲感到好奇，並決定進一步調查，最終揭示了 XZ 檔案壓縮器中隱藏的惡意後門。

目前，VirtusTotal 在總共 63 家安全供應商中僅識別出包括 Microsoft 在內的 4 家安全供應商能夠準確地將漏洞偵測為惡意漏洞。

因此，在這種情況下，微軟工程師敏銳的觀察能力值得被認可，因為其他人很可能不會花時間去調查。這事件也強調了開源軟體容易被惡意個人利用的脆弱性。

如果您擔心，請注意 XZ Utils 版本 5.6.0 和 5.6.1 已外洩。美國網路安全和基礎設施安全局 (CISA) 建議使用先前的安全版本。

根據建議的準則，使用者可以透過以管理員權限在 SSH 中執行以下命令來確認系統上是否存在易受攻擊的軟體：


xz --version

此外，還有可用的第三方掃描和偵測工具。安全研究公司 Qualys 和 Binarly 已公開提供自己的偵測和掃描工具，讓用戶確定他們的系統是否受到影響。

Qualys已發布VULNSIGS最新版本2.6.15-6，該漏洞在QID（Qualys漏洞檢測ID）下被識別為「379548」。

此外，Binarly 最近也推出了免費的 XZ 後門掃描器。該工具旨在識別 XZ Utils 的任何受感染版本，並在檢測時顯示「XZ 惡意植入」偵測通知。

有關該漏洞的其他技術資訊可以在 Binarly 和 Qualys 的網站上找到。兩家公司都發表了討論 XZ Utils 供應鏈難題和 CVE-2024-3094 後門的文章。