XZ Utils（CVE-2024-3094）供应链投毒深度分析

0x01 事件概述近日，微软一名软件工程师Andres Freund公开披露，其观察到liblzma库存在一些奇怪的现象，包括在用ssh远程登录异常及内存错误。经过分析，其确认在liblzma上游组件xz-utils中存在后门代码，后门或可导致攻击者能够在ssh登录认证前，执行攻击者指定的任意代码，可对Linux服务器安全造成严重影响。综合情况看，这是一起开源软件供应链投毒攻击事件。攻击者伪装成开发者，借更新之名，秘密的向xz-utils中加入后门代码，导致xz-utils中的liblzma易受攻击。OpenSSH用于SSH登录，广泛部署于基于Linux发行的操作系统中。其默认不依赖liblzma，但是部分Linux发行版会对OpenSSH进行二次开发而导致其默认加载LibSystemd，而LibSystemd默认加载liblzma。就这样，OpenSSH间接的因xz-utils的投毒而变得易受攻击，在认证前可执行攻击者发送的恶意代码。 天融信对该漏洞及 ………………………………