Linux系统中XZ Utils后门事件凸显了更广泛的供应链安全问题,而要应对这一挑战,仅靠社区精神远远不够。
网络安全领域再度进入警戒状态,起因是发现软件供应链中存在隐蔽的入侵行为。 该漏洞影响主流Linux发行版自带的XZ Utils数据压缩库,编号为CVE-2024-3094,本质上是由曾被信任的系统维护者蓄意植入的后门程序。 该漏洞在成功利用时可实现远程代码执行(RCE),构成极其严重的威胁,可能对成熟的软件开发流程造成重大破坏。
所幸另一位安全负责人在恶意代码进入Linux稳定版本前发现了该威胁,但仍对已开始在Fedora Rawhide环境中使用XZ Utils 5.6.0及5.6.1版本的用户构成风险,相关机构被紧急要求优先部署补丁。 若未能及时发现,其风险等级将使其成为有史以来最严重的供应链攻击之一,甚至可能超越SolarWinds事件。
虽然依赖社区志愿者维护关键系统的问题早有记录,但在SolarWinds这类高影响事件爆发前鲜少被重视。 尽管志愿者们不懈的工作对维护开源软件至关重要,但这凸显出必须在开发者层面切实加强安全技能和安全意识培养,同时强化对软件仓库的访问控制。
什么是XZ Utils后门及其缓解措施?
3月29日,红帽公司发布紧急安全警报,告知FedoraLinux 4.0及Fedora Rawhide用户:最新版本的压缩工具及"XZ"库中存在恶意代码,该代码似乎是专门设计用于便于第三方进行未经授权的访问。 该恶意代码的植入方式未来可能成为深入研究的课题,但这无疑是威胁行为者——化名"Jia Tan"的攻击者——实施的一场复杂、耐心且持久的社会工程学演练。 该人员耗费无数时间赢得其他管理员信任,在长达两年的时间里持续为XZ Utils项目及社区做出合法贡献,最终通过多个傀儡账户逐步瓦解项目志愿者所有者Lasse Collin的信誉,成功获得"可信维护者"身份:
这个不同寻常的案例生动地说明,技术能力极强的人也常会成为通常针对技术水平较低人群的攻击手段的受害者,这凸显了开展精准、基于角色的安全意识培训的必要性。 若非微软软件工程师兼PostgreSQL负责人安德烈斯·弗伦德的敏锐洞察与机智反应,这个后门程序本可能悄然存在,导致相关版本被撤回。正是他的行动终结了这场本可能成为近年最毁灭性供应链攻击的潜在危机。
该后门本身在NIST漏洞登记册中被正式列为最高严重级别的漏洞。 最初被认为可绕过SSH认证,但深入调查发现该漏洞允许在存在漏洞的Linux系统(包括Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed及部分Debian版本)上执行未经身份验证的远程代码。
贾坦似乎费尽心机掩盖了恶意软件包——该软件包在生成过程中被触发构建时,会通过systemd破坏SSHD的认证机制。正如Chapeaurouge所详述,在特定条件下,此干扰可能使攻击者绕过SSHD认证机制,从而获得对整个系统的远程非法访问权限。
微软等公司已发布完整的指导方针,说明如何分析系统以查找该漏洞的实例并减轻其影响。美国网络安全与基础设施安全局(CISA)建议的紧急措施是:相关开发者和用户应将XZ Utils降级至未受影响的版本,例如XZ Utils 5.4.6稳定版。
此类攻击极难预防,尤其当软件采用开源组件时,因供应链安全存在严重局限且透明度不足。 我们曾应对过软件供应链中的意外漏洞,但如今风险已升级为蓄意植入的安全缺陷,其目的在于破坏自由软件的安全性。
若缺乏敏锐的安全意识、扎实的安全知识储备以及一丝偏执的警惕性,多数开发者将无力抵御此类攻击。这几乎要求开发者具备威胁行为者的思维模式。 然而核心考量始终应聚焦于内部管控的源代码仓库(即非开源仓库)。 此类仓库仅应向具备相关且经过验证安全资质的人员开放。应用安全专业人员可考虑实施分支级安全控制,仅允许具备安全经验的开发者对最终主分支进行修改。
志愿维护者是英雄,但维护软件安全需要(应该)整个社区的共同努力。
对于非软件工程领域从业者而言,很难理解一个充满活力的志愿者社区如何以自己的节奏精心维护关键系统,但这正是开源开发的核心特质——它始终是保护供应链安全专业人士面临的关键风险。
自由软件已成为几乎所有企业数字生态系统的核心组成部分。这些值得信赖的维护者(其中多数秉持善意)在追求技术进步与完整性的过程中展现出真正的英雄主义,但让他们孤军奋战实属荒谬。 在以DevSecOps为核心的时代,安全是共同责任,每位开发者都应掌握应对日常工作中可能遇到的安全问题的知识和工具。安全意识与实践能力不应成为软件开发流程中的可选项,安全负责人有责任推动企业层面的变革。
立即在您的组织中建立蓬勃发展的安全文化,借助 课程 课程,在您的组织内部建立Secure Code Warrior。
在主流Linux发行版使用的XZ Utils数据压缩库中发现了一个关键漏洞CVE-2024-3094,该漏洞由恶意行为者植入后门所致。此严重缺陷可能导致远程代码执行,对软件构建流程构成重大风险。 该漏洞影响Fedora Rawhide中XZ Utils的早期版本(5.6.0和5.6.1),紧急呼吁各组织立即部署补丁。此事件凸显了开源软件维护中社区志愿者的关键作用,同时强调必须在整个软件开发周期中强化安全实践与访问控制措施。
首席执行官、主席和联合创始人
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
网络安全领域再度进入警戒状态,起因是发现软件供应链中存在隐蔽的入侵行为。 该漏洞影响主流Linux发行版自带的XZ Utils数据压缩库,编号为CVE-2024-3094,本质上是由曾被信任的系统维护者蓄意植入的后门程序。 该漏洞在成功利用时可实现远程代码执行(RCE),构成极其严重的威胁,可能对成熟的软件开发流程造成重大破坏。
所幸另一位安全负责人在恶意代码进入Linux稳定版本前发现了该威胁,但仍对已开始在Fedora Rawhide环境中使用XZ Utils 5.6.0及5.6.1版本的用户构成风险,相关机构被紧急要求优先部署补丁。 若未能及时发现,其风险等级将使其成为有史以来最严重的供应链攻击之一,甚至可能超越SolarWinds事件。
虽然依赖社区志愿者维护关键系统的问题早有记录,但在SolarWinds这类高影响事件爆发前鲜少被重视。 尽管志愿者们不懈的工作对维护开源软件至关重要,但这凸显出必须在开发者层面切实加强安全技能和安全意识培养,同时强化对软件仓库的访问控制。
什么是XZ Utils后门及其缓解措施?
3月29日,红帽公司发布紧急安全警报,告知FedoraLinux 4.0及Fedora Rawhide用户:最新版本的压缩工具及"XZ"库中存在恶意代码,该代码似乎是专门设计用于便于第三方进行未经授权的访问。 该恶意代码的植入方式未来可能成为深入研究的课题,但这无疑是威胁行为者——化名"Jia Tan"的攻击者——实施的一场复杂、耐心且持久的社会工程学演练。 该人员耗费无数时间赢得其他管理员信任,在长达两年的时间里持续为XZ Utils项目及社区做出合法贡献,最终通过多个傀儡账户逐步瓦解项目志愿者所有者Lasse Collin的信誉,成功获得"可信维护者"身份:
这个不同寻常的案例生动地说明,技术能力极强的人也常会成为通常针对技术水平较低人群的攻击手段的受害者,这凸显了开展精准、基于角色的安全意识培训的必要性。 若非微软软件工程师兼PostgreSQL负责人安德烈斯·弗伦德的敏锐洞察与机智反应,这个后门程序本可能悄然存在,导致相关版本被撤回。正是他的行动终结了这场本可能成为近年最毁灭性供应链攻击的潜在危机。
该后门本身在NIST漏洞登记册中被正式列为最高严重级别的漏洞。 最初被认为可绕过SSH认证,但深入调查发现该漏洞允许在存在漏洞的Linux系统(包括Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed及部分Debian版本)上执行未经身份验证的远程代码。
贾坦似乎费尽心机掩盖了恶意软件包——该软件包在生成过程中被触发构建时,会通过systemd破坏SSHD的认证机制。正如Chapeaurouge所详述,在特定条件下,此干扰可能使攻击者绕过SSHD认证机制,从而获得对整个系统的远程非法访问权限。
微软等公司已发布完整的指导方针,说明如何分析系统以查找该漏洞的实例并减轻其影响。美国网络安全与基础设施安全局(CISA)建议的紧急措施是:相关开发者和用户应将XZ Utils降级至未受影响的版本,例如XZ Utils 5.4.6稳定版。
此类攻击极难预防,尤其当软件采用开源组件时,因供应链安全存在严重局限且透明度不足。 我们曾应对过软件供应链中的意外漏洞,但如今风险已升级为蓄意植入的安全缺陷,其目的在于破坏自由软件的安全性。
若缺乏敏锐的安全意识、扎实的安全知识储备以及一丝偏执的警惕性,多数开发者将无力抵御此类攻击。这几乎要求开发者具备威胁行为者的思维模式。 然而核心考量始终应聚焦于内部管控的源代码仓库(即非开源仓库)。 此类仓库仅应向具备相关且经过验证安全资质的人员开放。应用安全专业人员可考虑实施分支级安全控制,仅允许具备安全经验的开发者对最终主分支进行修改。
志愿维护者是英雄,但维护软件安全需要(应该)整个社区的共同努力。
对于非软件工程领域从业者而言,很难理解一个充满活力的志愿者社区如何以自己的节奏精心维护关键系统,但这正是开源开发的核心特质——它始终是保护供应链安全专业人士面临的关键风险。
自由软件已成为几乎所有企业数字生态系统的核心组成部分。这些值得信赖的维护者(其中多数秉持善意)在追求技术进步与完整性的过程中展现出真正的英雄主义,但让他们孤军奋战实属荒谬。 在以DevSecOps为核心的时代,安全是共同责任,每位开发者都应掌握应对日常工作中可能遇到的安全问题的知识和工具。安全意识与实践能力不应成为软件开发流程中的可选项,安全负责人有责任推动企业层面的变革。
立即在您的组织中建立蓬勃发展的安全文化,借助 课程 课程,在您的组织内部建立Secure Code Warrior。
网络安全领域再度进入警戒状态,起因是发现软件供应链中存在隐蔽的入侵行为。 该漏洞影响主流Linux发行版自带的XZ Utils数据压缩库,编号为CVE-2024-3094,本质上是由曾被信任的系统维护者蓄意植入的后门程序。 该漏洞在成功利用时可实现远程代码执行(RCE),构成极其严重的威胁,可能对成熟的软件开发流程造成重大破坏。
所幸另一位安全负责人在恶意代码进入Linux稳定版本前发现了该威胁,但仍对已开始在Fedora Rawhide环境中使用XZ Utils 5.6.0及5.6.1版本的用户构成风险,相关机构被紧急要求优先部署补丁。 若未能及时发现,其风险等级将使其成为有史以来最严重的供应链攻击之一,甚至可能超越SolarWinds事件。
虽然依赖社区志愿者维护关键系统的问题早有记录,但在SolarWinds这类高影响事件爆发前鲜少被重视。 尽管志愿者们不懈的工作对维护开源软件至关重要,但这凸显出必须在开发者层面切实加强安全技能和安全意识培养,同时强化对软件仓库的访问控制。
什么是XZ Utils后门及其缓解措施?
3月29日,红帽公司发布紧急安全警报,告知FedoraLinux 4.0及Fedora Rawhide用户:最新版本的压缩工具及"XZ"库中存在恶意代码,该代码似乎是专门设计用于便于第三方进行未经授权的访问。 该恶意代码的植入方式未来可能成为深入研究的课题,但这无疑是威胁行为者——化名"Jia Tan"的攻击者——实施的一场复杂、耐心且持久的社会工程学演练。 该人员耗费无数时间赢得其他管理员信任,在长达两年的时间里持续为XZ Utils项目及社区做出合法贡献,最终通过多个傀儡账户逐步瓦解项目志愿者所有者Lasse Collin的信誉,成功获得"可信维护者"身份:
这个不同寻常的案例生动地说明,技术能力极强的人也常会成为通常针对技术水平较低人群的攻击手段的受害者,这凸显了开展精准、基于角色的安全意识培训的必要性。 若非微软软件工程师兼PostgreSQL负责人安德烈斯·弗伦德的敏锐洞察与机智反应,这个后门程序本可能悄然存在,导致相关版本被撤回。正是他的行动终结了这场本可能成为近年最毁灭性供应链攻击的潜在危机。
该后门本身在NIST漏洞登记册中被正式列为最高严重级别的漏洞。 最初被认为可绕过SSH认证,但深入调查发现该漏洞允许在存在漏洞的Linux系统(包括Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed及部分Debian版本)上执行未经身份验证的远程代码。
贾坦似乎费尽心机掩盖了恶意软件包——该软件包在生成过程中被触发构建时,会通过systemd破坏SSHD的认证机制。正如Chapeaurouge所详述,在特定条件下,此干扰可能使攻击者绕过SSHD认证机制,从而获得对整个系统的远程非法访问权限。
微软等公司已发布完整的指导方针,说明如何分析系统以查找该漏洞的实例并减轻其影响。美国网络安全与基础设施安全局(CISA)建议的紧急措施是:相关开发者和用户应将XZ Utils降级至未受影响的版本,例如XZ Utils 5.4.6稳定版。
此类攻击极难预防,尤其当软件采用开源组件时,因供应链安全存在严重局限且透明度不足。 我们曾应对过软件供应链中的意外漏洞,但如今风险已升级为蓄意植入的安全缺陷,其目的在于破坏自由软件的安全性。
若缺乏敏锐的安全意识、扎实的安全知识储备以及一丝偏执的警惕性,多数开发者将无力抵御此类攻击。这几乎要求开发者具备威胁行为者的思维模式。 然而核心考量始终应聚焦于内部管控的源代码仓库(即非开源仓库)。 此类仓库仅应向具备相关且经过验证安全资质的人员开放。应用安全专业人员可考虑实施分支级安全控制,仅允许具备安全经验的开发者对最终主分支进行修改。
志愿维护者是英雄,但维护软件安全需要(应该)整个社区的共同努力。
对于非软件工程领域从业者而言,很难理解一个充满活力的志愿者社区如何以自己的节奏精心维护关键系统,但这正是开源开发的核心特质——它始终是保护供应链安全专业人士面临的关键风险。
自由软件已成为几乎所有企业数字生态系统的核心组成部分。这些值得信赖的维护者(其中多数秉持善意)在追求技术进步与完整性的过程中展现出真正的英雄主义,但让他们孤军奋战实属荒谬。 在以DevSecOps为核心的时代,安全是共同责任,每位开发者都应掌握应对日常工作中可能遇到的安全问题的知识和工具。安全意识与实践能力不应成为软件开发流程中的可选项,安全负责人有责任推动企业层面的变革。
立即在您的组织中建立蓬勃发展的安全文化,借助 课程 课程,在您的组织内部建立Secure Code Warrior。
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
网络安全领域再度进入警戒状态,起因是发现软件供应链中存在隐蔽的入侵行为。 该漏洞影响主流Linux发行版自带的XZ Utils数据压缩库,编号为CVE-2024-3094,本质上是由曾被信任的系统维护者蓄意植入的后门程序。 该漏洞在成功利用时可实现远程代码执行(RCE),构成极其严重的威胁,可能对成熟的软件开发流程造成重大破坏。
所幸另一位安全负责人在恶意代码进入Linux稳定版本前发现了该威胁,但仍对已开始在Fedora Rawhide环境中使用XZ Utils 5.6.0及5.6.1版本的用户构成风险,相关机构被紧急要求优先部署补丁。 若未能及时发现,其风险等级将使其成为有史以来最严重的供应链攻击之一,甚至可能超越SolarWinds事件。
虽然依赖社区志愿者维护关键系统的问题早有记录,但在SolarWinds这类高影响事件爆发前鲜少被重视。 尽管志愿者们不懈的工作对维护开源软件至关重要,但这凸显出必须在开发者层面切实加强安全技能和安全意识培养,同时强化对软件仓库的访问控制。
什么是XZ Utils后门及其缓解措施?
3月29日,红帽公司发布紧急安全警报,告知FedoraLinux 4.0及Fedora Rawhide用户:最新版本的压缩工具及"XZ"库中存在恶意代码,该代码似乎是专门设计用于便于第三方进行未经授权的访问。 该恶意代码的植入方式未来可能成为深入研究的课题,但这无疑是威胁行为者——化名"Jia Tan"的攻击者——实施的一场复杂、耐心且持久的社会工程学演练。 该人员耗费无数时间赢得其他管理员信任,在长达两年的时间里持续为XZ Utils项目及社区做出合法贡献,最终通过多个傀儡账户逐步瓦解项目志愿者所有者Lasse Collin的信誉,成功获得"可信维护者"身份:
这个不同寻常的案例生动地说明,技术能力极强的人也常会成为通常针对技术水平较低人群的攻击手段的受害者,这凸显了开展精准、基于角色的安全意识培训的必要性。 若非微软软件工程师兼PostgreSQL负责人安德烈斯·弗伦德的敏锐洞察与机智反应,这个后门程序本可能悄然存在,导致相关版本被撤回。正是他的行动终结了这场本可能成为近年最毁灭性供应链攻击的潜在危机。
该后门本身在NIST漏洞登记册中被正式列为最高严重级别的漏洞。 最初被认为可绕过SSH认证,但深入调查发现该漏洞允许在存在漏洞的Linux系统(包括Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed及部分Debian版本)上执行未经身份验证的远程代码。
贾坦似乎费尽心机掩盖了恶意软件包——该软件包在生成过程中被触发构建时,会通过systemd破坏SSHD的认证机制。正如Chapeaurouge所详述,在特定条件下,此干扰可能使攻击者绕过SSHD认证机制,从而获得对整个系统的远程非法访问权限。
微软等公司已发布完整的指导方针,说明如何分析系统以查找该漏洞的实例并减轻其影响。美国网络安全与基础设施安全局(CISA)建议的紧急措施是:相关开发者和用户应将XZ Utils降级至未受影响的版本,例如XZ Utils 5.4.6稳定版。
此类攻击极难预防,尤其当软件采用开源组件时,因供应链安全存在严重局限且透明度不足。 我们曾应对过软件供应链中的意外漏洞,但如今风险已升级为蓄意植入的安全缺陷,其目的在于破坏自由软件的安全性。
若缺乏敏锐的安全意识、扎实的安全知识储备以及一丝偏执的警惕性,多数开发者将无力抵御此类攻击。这几乎要求开发者具备威胁行为者的思维模式。 然而核心考量始终应聚焦于内部管控的源代码仓库(即非开源仓库)。 此类仓库仅应向具备相关且经过验证安全资质的人员开放。应用安全专业人员可考虑实施分支级安全控制,仅允许具备安全经验的开发者对最终主分支进行修改。
志愿维护者是英雄,但维护软件安全需要(应该)整个社区的共同努力。
对于非软件工程领域从业者而言,很难理解一个充满活力的志愿者社区如何以自己的节奏精心维护关键系统,但这正是开源开发的核心特质——它始终是保护供应链安全专业人士面临的关键风险。
自由软件已成为几乎所有企业数字生态系统的核心组成部分。这些值得信赖的维护者(其中多数秉持善意)在追求技术进步与完整性的过程中展现出真正的英雄主义,但让他们孤军奋战实属荒谬。 在以DevSecOps为核心的时代,安全是共同责任,每位开发者都应掌握应对日常工作中可能遇到的安全问题的知识和工具。安全意识与实践能力不应成为软件开发流程中的可选项,安全负责人有责任推动企业层面的变革。
立即在您的组织中建立蓬勃发展的安全文化,借助 课程 课程,在您的组织内部建立Secure Code Warrior。
帮助您入门的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
