摘要：XZ Utils 供应链事件（CVE-2024-3094，CVSS 评分：10.0）于 2024 年 3 月下旬曝光，当时 Andres Freund 对 XZ Utils 5.6.0 和 5.6.1 版本中嵌入的后门发出了警报。

事件发现一年多后，新的研究发现 Docker Hub 上的 Docker 镜像包含臭名昭著的 XZ Utils 后门。

Binarly REsearch在一份报告中表示，其他镜像是在受感染的基础镜像之上构建的，从而有效地进一步传播感染。

这家固件安全公司表示，共发现35个带有该后门的镜像。此次事件再次凸显了软件供应链面临的风险。

XZ Utils 供应链事件（CVE-2024-3094，CVSS 评分：10.0）于 2024 年 3 月下旬曝光，当时 Andres Freund 对 XZ Utils 5.6.0 和 5.6.1 版本中嵌入的后门发出了警报。

进一步分析有了几个惊人的发现，首先也是最重要的是，后门可能导致未经授权的远程访问并通过 SSH 执行任意有效载荷。

具体来说，后门——放置在 liblzma.so 库中并由 OpenSSH 服务器使用——设计为在客户端与受感染的 SSH 服务器交互时触发。

“通过使用 glibc 的 IFUNC 机制劫持 RSA_public_decrypt 函数，恶意代码允许拥有特定私钥的攻击者绕过身份验证并远程执行 root 命令。”Binarly 解释道。

第二个发现是，这些变化是由名为“Jia Tan”（JiaT75）的开发人员推动的，他花了近两年时间为开源项目做出贡献以建立信任，直到他们被赋予维护者的责任，这表明攻击的细致性。

“这显然是一项由政府资助的、非常复杂的手术，其精密程度令人印象深刻，而且经过了多年的规划。”Binary 当时指出。“如此复杂且专业设计的综合植入框架并非为一次性手术而开发。”

该公司的最新研究表明，即使经历数月，该事件的影响仍在开源生态系统中持续产生余震。

其中包括发现 12 个包含其中一个 XZ Utils 后门的Debian Docker 镜像，以及另一组包含受感染 Debian 镜像的二阶镜像。

Binarly 表示，它已将基础镜像报告给 Debian 维护人员。

尽管成功利用该漏洞需要满足以下条件：需要在运行 SSH 服务的情况下通过网络访问受感染的设备，但公开包含潜在可通过网络访问的后门的 Docker 镜像仍会带来重大的安全风险。

它补充道：“xz-utils 后门事件表明，即使是短暂的恶意代码也可以在官方容器镜像中长期不被注意，并且可以在 Docker 生态系统中传播。”

“这种延迟凸显了这些工件如何通过 CI 管道和容器生态系统悄悄地持续存在和传播，这强化了除了简单的版本跟踪之外，对持续二进制级监控的迫切需求。”

技术报告：

来源：会杀毒的单反狗