Linux 中的 XZ Utils 后门程序揭示了更广泛的供应链安全问题,要阻止这种威胁,我们需要的远不止社区精神。
在发现阴险的软件供应链漏洞后,网络安全行业再次进入高度戒备状态。该漏洞影响了主要 Linux 发行版附带的 XZ Utils 数据压缩库,该漏洞编号为CVE-2024-3094,源于曾被信任的志愿者系统维护者蓄意植入的后门程序。若成功利用,在特定条件下可实现远程代码执行(RCE),其严重程度极高,足以对成熟的软件构建流程造成重大破坏。
所幸另一位维护者在恶意代码进入稳定版Linux之前就发现了该威胁,但对于那些作为Fedora Rawhide组成部分开始运行XZ Utils 5.6.0和5.6.1版本的人来说,它仍然构成问题,组织也敦促修补这是紧急级别的优先事项。如果不及时发现这一发现,风险状况将使其成为有记录以来最具破坏性的供应链攻击之一,甚至可能使SolarWinds黯然失色。
依赖社区志愿者维护关键系统的现象早已广为人知,但鲜少有人讨论,直到诸如本次事件这类高影响力的问题浮出水面。尽管志愿者们不懈的努力对开源软件至关重要,但这凸显了必须在开发者层面认真强调安全技能和意识的必要性,更不用说加强软件仓库的访问控制了。
什么是 XZ Utils 后门程序,如何缓解它?
3月29日,红帽发布紧急安全警报,告知Fedora Linux 40和Fedora Rawhide用户,最新版本的 “XZ”压缩工具及库包含恶意代码,这些恶意代码似乎是专门为便利未经授权的第三方访问而构建的。这种恶意代码是如何注入的,将来可能会成为深入研究的主题,但它相当于威胁行为者,一个名为“Jia”的化名攻击者进行的长达数年的复杂、耐心、持续数年的社会工程演习。此人耗费无数小时赢得其他维护者的信任,为XZ Utils项目和社区贡献了两年多的合法工作。在多个傀儡账户削弱志愿者项目所有者Lasse Collin的信心后,他最终获得了"可信维护者"身份:
这种不寻常的情况就是一个典型的例子,一个技术含量很高的人员仍然成为策略的受害者,这些策略通常只用来对付那些不太精明的人,这表明需要精确、基于角色的安全意识培训。这只是因为微软软件工程师和 PostgreSQL 维护者的好奇心和思维敏捷,安德烈斯·弗洛因德,后门被发现,版本被回滚,从而阻止了近代记忆中可能最具破坏性的供应链攻击。
后门程序本身已被正式追踪为严重程度最高的漏洞,并列入NIST漏洞登记册。最初被认为允许绕过SSH身份验证,但进一步调查显示,它允许在易受攻击的Linux系统上未经身份验证的远程代码执行,包括Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed和某些版本的Debian。
贾坦似乎不遗余力地对恶意软件包进行了混淆处理,在构建过程中触发该软件包自行构造时,会阻碍通过 systemd 在 SSHD 中进行身份验证。正如红帽详细说明的那样,在适当的情况下,这种干扰可能会允许攻击者破坏 SSHD 身份验证并获得对整个系统的未经授权的远程访问权限。
除其他外,微软发布了全面指南,说明如何在扫描系统上查看漏洞利用实例并减轻其影响,以及建议立即采取的措施。CISA建议受影响的开发者和用户将XZ Utils降级到未打补丁的版本,例如XZ Utils 5.4.6稳定版。
防范此类攻击极为困难,尤其当软件采用开源组件时——供应链的安全性几乎缺乏保障与透明度。我们曾处理过软件供应链中的意外漏洞,但如今风险已升级至蓄意植入恶意代码以破坏开源安全的程度。
除非具备强烈的安全意识、扎实的安全知识和些许偏执倾向,否则多数开发者难以抵御此类攻击。这几乎需要威胁行为者的思维模式。然而,核心考量始终应聚焦于源代码仓库的内部控制(即非开源部分)。仅具备验证过的相关安全技能的人员才能访问这些内容。应用安全专业人员可考虑实施分支级安全控制等设置,仅允许具备安全技能的开发人员对最终主分支进行修改。
志愿者是英雄,但(应该)需要整个村庄才能维护安全软件。
对于软件工程领域之外的人来说,一个充满活力的志愿者社区在自己的时代辛勤维护关键系统的想法是一个难以理解的概念,但这是开源开发的本质,对于保护供应链的安全专业人员而言,它仍然是一个面临重大风险的领域。
开源软件几乎是每个企业数字生态系统的重要组成部分,值得信赖的维护者(其中大多数都是本着诚意行事)在无私地追求技术进步和完整性的过程中确实是英雄,但让他们孤立交付却是荒谬的。在这个以DevSecOps为核心的时代,安全是共同责任,每位开发者都必须掌握知识和合适工具,以应对日常工作中可能遇到的安全问题。在软件开发过程中,安全意识和实践技能应成为不可妥协的要素,而安全领导者则有责任推动企业层面的变革。
通过深入的方式,在当今的组织中建立蓬勃发展的安全文化 课程 来自安全代码勇士。
在主要 Linux 发行版使用的 XZ Utils 数据压缩库中发现了一个名为 CVE-2024-3094 的严重漏洞,该漏洞是由威胁行为者通过后门程序引入的。该高危漏洞可导致潜在的远程代码执行,对软件构建流程构成重大威胁。受影响版本为 Fedora Rawhide 中 XZ Utils 的早期版本(5.6.0 和 5.6.1),相关组织被紧急呼吁实施补丁修复。此事件凸显了社区志愿者在维护开源软件中的关键作用,同时强调了在软件开发生命周期中加强安全措施和访问控制的必要性。
首席执行官、主席和联合创始人
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在发现阴险的软件供应链漏洞后,网络安全行业再次进入高度戒备状态。该漏洞影响了主要 Linux 发行版附带的 XZ Utils 数据压缩库,该漏洞编号为CVE-2024-3094,源于曾被信任的志愿者系统维护者蓄意植入的后门程序。若成功利用,在特定条件下可实现远程代码执行(RCE),其严重程度极高,足以对成熟的软件构建流程造成重大破坏。
所幸另一位维护者在恶意代码进入稳定版Linux之前就发现了该威胁,但对于那些作为Fedora Rawhide组成部分开始运行XZ Utils 5.6.0和5.6.1版本的人来说,它仍然构成问题,组织也敦促修补这是紧急级别的优先事项。如果不及时发现这一发现,风险状况将使其成为有记录以来最具破坏性的供应链攻击之一,甚至可能使SolarWinds黯然失色。
依赖社区志愿者维护关键系统的现象早已广为人知,但鲜少有人讨论,直到诸如本次事件这类高影响力的问题浮出水面。尽管志愿者们不懈的努力对开源软件至关重要,但这凸显了必须在开发者层面认真强调安全技能和意识的必要性,更不用说加强软件仓库的访问控制了。
什么是 XZ Utils 后门程序,如何缓解它?
3月29日,红帽发布紧急安全警报,告知Fedora Linux 40和Fedora Rawhide用户,最新版本的 “XZ”压缩工具及库包含恶意代码,这些恶意代码似乎是专门为便利未经授权的第三方访问而构建的。这种恶意代码是如何注入的,将来可能会成为深入研究的主题,但它相当于威胁行为者,一个名为“Jia”的化名攻击者进行的长达数年的复杂、耐心、持续数年的社会工程演习。此人耗费无数小时赢得其他维护者的信任,为XZ Utils项目和社区贡献了两年多的合法工作。在多个傀儡账户削弱志愿者项目所有者Lasse Collin的信心后,他最终获得了"可信维护者"身份:
这种不寻常的情况就是一个典型的例子,一个技术含量很高的人员仍然成为策略的受害者,这些策略通常只用来对付那些不太精明的人,这表明需要精确、基于角色的安全意识培训。这只是因为微软软件工程师和 PostgreSQL 维护者的好奇心和思维敏捷,安德烈斯·弗洛因德,后门被发现,版本被回滚,从而阻止了近代记忆中可能最具破坏性的供应链攻击。
后门程序本身已被正式追踪为严重程度最高的漏洞,并列入NIST漏洞登记册。最初被认为允许绕过SSH身份验证,但进一步调查显示,它允许在易受攻击的Linux系统上未经身份验证的远程代码执行,包括Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed和某些版本的Debian。
贾坦似乎不遗余力地对恶意软件包进行了混淆处理,在构建过程中触发该软件包自行构造时,会阻碍通过 systemd 在 SSHD 中进行身份验证。正如红帽详细说明的那样,在适当的情况下,这种干扰可能会允许攻击者破坏 SSHD 身份验证并获得对整个系统的未经授权的远程访问权限。
除其他外,微软发布了全面指南,说明如何在扫描系统上查看漏洞利用实例并减轻其影响,以及建议立即采取的措施。CISA建议受影响的开发者和用户将XZ Utils降级到未打补丁的版本,例如XZ Utils 5.4.6稳定版。
防范此类攻击极为困难,尤其当软件采用开源组件时——供应链的安全性几乎缺乏保障与透明度。我们曾处理过软件供应链中的意外漏洞,但如今风险已升级至蓄意植入恶意代码以破坏开源安全的程度。
除非具备强烈的安全意识、扎实的安全知识和些许偏执倾向,否则多数开发者难以抵御此类攻击。这几乎需要威胁行为者的思维模式。然而,核心考量始终应聚焦于源代码仓库的内部控制(即非开源部分)。仅具备验证过的相关安全技能的人员才能访问这些内容。应用安全专业人员可考虑实施分支级安全控制等设置,仅允许具备安全技能的开发人员对最终主分支进行修改。
志愿者是英雄,但(应该)需要整个村庄才能维护安全软件。
对于软件工程领域之外的人来说,一个充满活力的志愿者社区在自己的时代辛勤维护关键系统的想法是一个难以理解的概念,但这是开源开发的本质,对于保护供应链的安全专业人员而言,它仍然是一个面临重大风险的领域。
开源软件几乎是每个企业数字生态系统的重要组成部分,值得信赖的维护者(其中大多数都是本着诚意行事)在无私地追求技术进步和完整性的过程中确实是英雄,但让他们孤立交付却是荒谬的。在这个以DevSecOps为核心的时代,安全是共同责任,每位开发者都必须掌握知识和合适工具,以应对日常工作中可能遇到的安全问题。在软件开发过程中,安全意识和实践技能应成为不可妥协的要素,而安全领导者则有责任推动企业层面的变革。
通过深入的方式,在当今的组织中建立蓬勃发展的安全文化 课程 来自安全代码勇士。
在发现阴险的软件供应链漏洞后,网络安全行业再次进入高度戒备状态。该漏洞影响了主要 Linux 发行版附带的 XZ Utils 数据压缩库,该漏洞编号为CVE-2024-3094,源于曾被信任的志愿者系统维护者蓄意植入的后门程序。若成功利用,在特定条件下可实现远程代码执行(RCE),其严重程度极高,足以对成熟的软件构建流程造成重大破坏。
所幸另一位维护者在恶意代码进入稳定版Linux之前就发现了该威胁,但对于那些作为Fedora Rawhide组成部分开始运行XZ Utils 5.6.0和5.6.1版本的人来说,它仍然构成问题,组织也敦促修补这是紧急级别的优先事项。如果不及时发现这一发现,风险状况将使其成为有记录以来最具破坏性的供应链攻击之一,甚至可能使SolarWinds黯然失色。
依赖社区志愿者维护关键系统的现象早已广为人知,但鲜少有人讨论,直到诸如本次事件这类高影响力的问题浮出水面。尽管志愿者们不懈的努力对开源软件至关重要,但这凸显了必须在开发者层面认真强调安全技能和意识的必要性,更不用说加强软件仓库的访问控制了。
什么是 XZ Utils 后门程序,如何缓解它?
3月29日,红帽发布紧急安全警报,告知Fedora Linux 40和Fedora Rawhide用户,最新版本的 “XZ”压缩工具及库包含恶意代码,这些恶意代码似乎是专门为便利未经授权的第三方访问而构建的。这种恶意代码是如何注入的,将来可能会成为深入研究的主题,但它相当于威胁行为者,一个名为“Jia”的化名攻击者进行的长达数年的复杂、耐心、持续数年的社会工程演习。此人耗费无数小时赢得其他维护者的信任,为XZ Utils项目和社区贡献了两年多的合法工作。在多个傀儡账户削弱志愿者项目所有者Lasse Collin的信心后,他最终获得了"可信维护者"身份:
这种不寻常的情况就是一个典型的例子,一个技术含量很高的人员仍然成为策略的受害者,这些策略通常只用来对付那些不太精明的人,这表明需要精确、基于角色的安全意识培训。这只是因为微软软件工程师和 PostgreSQL 维护者的好奇心和思维敏捷,安德烈斯·弗洛因德,后门被发现,版本被回滚,从而阻止了近代记忆中可能最具破坏性的供应链攻击。
后门程序本身已被正式追踪为严重程度最高的漏洞,并列入NIST漏洞登记册。最初被认为允许绕过SSH身份验证,但进一步调查显示,它允许在易受攻击的Linux系统上未经身份验证的远程代码执行,包括Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed和某些版本的Debian。
贾坦似乎不遗余力地对恶意软件包进行了混淆处理,在构建过程中触发该软件包自行构造时,会阻碍通过 systemd 在 SSHD 中进行身份验证。正如红帽详细说明的那样,在适当的情况下,这种干扰可能会允许攻击者破坏 SSHD 身份验证并获得对整个系统的未经授权的远程访问权限。
除其他外,微软发布了全面指南,说明如何在扫描系统上查看漏洞利用实例并减轻其影响,以及建议立即采取的措施。CISA建议受影响的开发者和用户将XZ Utils降级到未打补丁的版本,例如XZ Utils 5.4.6稳定版。
防范此类攻击极为困难,尤其当软件采用开源组件时——供应链的安全性几乎缺乏保障与透明度。我们曾处理过软件供应链中的意外漏洞,但如今风险已升级至蓄意植入恶意代码以破坏开源安全的程度。
除非具备强烈的安全意识、扎实的安全知识和些许偏执倾向,否则多数开发者难以抵御此类攻击。这几乎需要威胁行为者的思维模式。然而,核心考量始终应聚焦于源代码仓库的内部控制(即非开源部分)。仅具备验证过的相关安全技能的人员才能访问这些内容。应用安全专业人员可考虑实施分支级安全控制等设置,仅允许具备安全技能的开发人员对最终主分支进行修改。
志愿者是英雄,但(应该)需要整个村庄才能维护安全软件。
对于软件工程领域之外的人来说,一个充满活力的志愿者社区在自己的时代辛勤维护关键系统的想法是一个难以理解的概念,但这是开源开发的本质,对于保护供应链的安全专业人员而言,它仍然是一个面临重大风险的领域。
开源软件几乎是每个企业数字生态系统的重要组成部分,值得信赖的维护者(其中大多数都是本着诚意行事)在无私地追求技术进步和完整性的过程中确实是英雄,但让他们孤立交付却是荒谬的。在这个以DevSecOps为核心的时代,安全是共同责任,每位开发者都必须掌握知识和合适工具,以应对日常工作中可能遇到的安全问题。在软件开发过程中,安全意识和实践技能应成为不可妥协的要素,而安全领导者则有责任推动企业层面的变革。
通过深入的方式,在当今的组织中建立蓬勃发展的安全文化 课程 来自安全代码勇士。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在发现阴险的软件供应链漏洞后,网络安全行业再次进入高度戒备状态。该漏洞影响了主要 Linux 发行版附带的 XZ Utils 数据压缩库,该漏洞编号为CVE-2024-3094,源于曾被信任的志愿者系统维护者蓄意植入的后门程序。若成功利用,在特定条件下可实现远程代码执行(RCE),其严重程度极高,足以对成熟的软件构建流程造成重大破坏。
所幸另一位维护者在恶意代码进入稳定版Linux之前就发现了该威胁,但对于那些作为Fedora Rawhide组成部分开始运行XZ Utils 5.6.0和5.6.1版本的人来说,它仍然构成问题,组织也敦促修补这是紧急级别的优先事项。如果不及时发现这一发现,风险状况将使其成为有记录以来最具破坏性的供应链攻击之一,甚至可能使SolarWinds黯然失色。
依赖社区志愿者维护关键系统的现象早已广为人知,但鲜少有人讨论,直到诸如本次事件这类高影响力的问题浮出水面。尽管志愿者们不懈的努力对开源软件至关重要,但这凸显了必须在开发者层面认真强调安全技能和意识的必要性,更不用说加强软件仓库的访问控制了。
什么是 XZ Utils 后门程序,如何缓解它?
3月29日,红帽发布紧急安全警报,告知Fedora Linux 40和Fedora Rawhide用户,最新版本的 “XZ”压缩工具及库包含恶意代码,这些恶意代码似乎是专门为便利未经授权的第三方访问而构建的。这种恶意代码是如何注入的,将来可能会成为深入研究的主题,但它相当于威胁行为者,一个名为“Jia”的化名攻击者进行的长达数年的复杂、耐心、持续数年的社会工程演习。此人耗费无数小时赢得其他维护者的信任,为XZ Utils项目和社区贡献了两年多的合法工作。在多个傀儡账户削弱志愿者项目所有者Lasse Collin的信心后,他最终获得了"可信维护者"身份:
这种不寻常的情况就是一个典型的例子,一个技术含量很高的人员仍然成为策略的受害者,这些策略通常只用来对付那些不太精明的人,这表明需要精确、基于角色的安全意识培训。这只是因为微软软件工程师和 PostgreSQL 维护者的好奇心和思维敏捷,安德烈斯·弗洛因德,后门被发现,版本被回滚,从而阻止了近代记忆中可能最具破坏性的供应链攻击。
后门程序本身已被正式追踪为严重程度最高的漏洞,并列入NIST漏洞登记册。最初被认为允许绕过SSH身份验证,但进一步调查显示,它允许在易受攻击的Linux系统上未经身份验证的远程代码执行,包括Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed和某些版本的Debian。
贾坦似乎不遗余力地对恶意软件包进行了混淆处理,在构建过程中触发该软件包自行构造时,会阻碍通过 systemd 在 SSHD 中进行身份验证。正如红帽详细说明的那样,在适当的情况下,这种干扰可能会允许攻击者破坏 SSHD 身份验证并获得对整个系统的未经授权的远程访问权限。
除其他外,微软发布了全面指南,说明如何在扫描系统上查看漏洞利用实例并减轻其影响,以及建议立即采取的措施。CISA建议受影响的开发者和用户将XZ Utils降级到未打补丁的版本,例如XZ Utils 5.4.6稳定版。
防范此类攻击极为困难,尤其当软件采用开源组件时——供应链的安全性几乎缺乏保障与透明度。我们曾处理过软件供应链中的意外漏洞,但如今风险已升级至蓄意植入恶意代码以破坏开源安全的程度。
除非具备强烈的安全意识、扎实的安全知识和些许偏执倾向,否则多数开发者难以抵御此类攻击。这几乎需要威胁行为者的思维模式。然而,核心考量始终应聚焦于源代码仓库的内部控制(即非开源部分)。仅具备验证过的相关安全技能的人员才能访问这些内容。应用安全专业人员可考虑实施分支级安全控制等设置,仅允许具备安全技能的开发人员对最终主分支进行修改。
志愿者是英雄,但(应该)需要整个村庄才能维护安全软件。
对于软件工程领域之外的人来说,一个充满活力的志愿者社区在自己的时代辛勤维护关键系统的想法是一个难以理解的概念,但这是开源开发的本质,对于保护供应链的安全专业人员而言,它仍然是一个面临重大风险的领域。
开源软件几乎是每个企业数字生态系统的重要组成部分,值得信赖的维护者(其中大多数都是本着诚意行事)在无私地追求技术进步和完整性的过程中确实是英雄,但让他们孤立交付却是荒谬的。在这个以DevSecOps为核心的时代,安全是共同责任,每位开发者都必须掌握知识和合适工具,以应对日常工作中可能遇到的安全问题。在软件开发过程中,安全意识和实践技能应成为不可妥协的要素,而安全领导者则有责任推动企业层面的变革。
通过深入的方式,在当今的组织中建立蓬勃发展的安全文化 课程 来自安全代码勇士。
帮助您入门的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
