有人(疑似中共技术特工)向基础软件投毒植入后门,已有Linux中招,少数MacOS用户受影响
详细报道、社区讨论分析都已经满天飞,英文中文都有:
英文的:
https://blog.qualys.com/vulnerabilities-threat-research/2024/03/29/xz-utils-sshd-backdoor
https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/
https://arstechnica.com/security/2024/03/backdoor-found-in-widely-used-linux-utility-breaks-encrypted-ssh-connections/
【警告:链接内容可能存在钓鱼网址,请勿打开】https://news.ycombin ator.com/item?id=39869068
中文的:
https://www. cnbeta.com.tw/articles/tech/1425585.htm
https://twitter.com/Blankwonder/status/1773921956615877110
https://www.v2etwitter.com/t/1028287
https://www.v2etwitter.com/t/1028288 (此贴被移入隐藏区,请参考备份 https://web.archive.org/web/20240330083006/https://www.v2etwitter.com/t/1028288)
简单来说,就是:
本次受到攻击的最终目标为Linux版sshd(这是个基础设施程序,用于远程连接),3月份最新测试版的Fedora和Debian都中了招;Arch Linux的sshd不受影响但xz命令和liblzma都受到污染。
现在这几个Linux已经采取了紧急更新措施,移除掉带毒软件。4月份释出的最新测试版可以放心使用。
至于苹果系统,暂时只影响到了少数homebrew用户,因为homebrew的xz-utils和liblzma刚好更新到了受污染版本。
过程简述:
一个名为Jia Cheong Tan的网络账号,持续3年为基础软件库xz-utils、liblzma提交代码,以取得信任。
最近xz-utils的原作者休假,Jia Cheong Tan趁机动手。他向测试验证过程做了手脚,一旦Linux发行版在编译过程后运行测试程序,就会触发“植入后门”,把后门植入xz 5.6.0 和 5.6.1,以及liblzma。
恰好,部分Linux的OpenSSH会用到liblzma(这是个重点,稍后再讲),于是sshd就带后门了。后果就是,后门作者及相关人士,都可以利用该后门随意进入Linux服务器。
然而该后门有bug,会导致CPU使用率飙升,被安全研究人员发现。阴谋就此曝光。
中招的sshd:
正常来说,OpenSSH (sshd的本体)是不需要用到liblzma的,但由于大多数Linux都使用systemd,为了方便起见,部分Linux就魔改了OpenSSH,跟systemd无缝集成。而systemd又需要用到liblzma,于是间接导致sshd受到感染。
这就是为什么Fedora和Debian都中了招,因为它们都魔改了OpenSSH。Arch Linux没有魔改OpenSSH,所以没事。
此外,Jia Cheong Tan还尝试催促Ubuntu收录最新版程序,好让后门顺利进入Ubuntu。
除了Linux和MacOS,其它系统呢?
还好的是,其它系统不受影响。
OpenSSH的源头是OpenBSD,现在已知OpenSSH本体不受影响,并且OpenBSD使用的xz和liblzma都不是最新版,所以OpenBSD没事。
其它BSD,都是直接用原版OpenSSH,并且xz和liblzma同样不是最新版,所以像FreeBSD、NetBSD之类的同样没事。
Windows 10、11的OpenSSH不依赖systemd,并且连xz和liblzma都不自带,因此也没事。
其它细节,为什么在标题加注“疑似中共技术特工”:
根据其他人的挖掘(请见前述v2ex讨论帖,可能需要登录查看),Jia Cheong Tan专门为龙芯架构提交过性能优化的代码。
而放眼全世界,最熟悉龙芯架构的也就华人。准确点说,是中共技术人员。
更重要一点,Jia Cheong Tan的作息十分有规律——“推上国外已经有人开始怀疑国内的人了,因为其规律的工作日提交时间,以及避开了国内法定节假日的时间”(来自前述v2ex讨论帖)
那么,熟悉龙芯架构、特意潜伏3年博取信任、作息时间恰好是中国作息规律的华人技术人员,很大概率就是中共技术特工。
附加一点个人看法
中共故意污染Linux已经不是一天两天的事情了。很早之前,它们就已经把自家的“国密算法”送进了Linux内核代码。这个相对好点,只要不用“国密算法”就行。
再加上近几年中共狂推“国产系统”,可以说,精通Linux的中共技术特工越来越多,Linux受到的威胁只会越来越大。
如果不是因为后门程序有bug,恐怕这毒就会长时间“驻扎”到各大Linux系统。毕竟Fedora和Debian都是基础性质的上游发行版,有不少发行版都是基于这两个修改而成。真出现这种情况的话,那就是地震式的安全威胁了。
英文的:
https://blog.qualys.com/vulnerabilities-threat-research/2024/03/29/xz-utils-sshd-backdoor
https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/
https://arstechnica.com/security/2024/03/backdoor-found-in-widely-used-linux-utility-breaks-encrypted-ssh-connections/
【警告:链接内容可能存在钓鱼网址,请勿打开】https://news.ycombin ator.com/item?id=39869068
中文的:
https://www. cnbeta.com.tw/articles/tech/1425585.htm
https://twitter.com/Blankwonder/status/1773921956615877110
https://www.v2etwitter.com/t/1028287
https://www.v2etwitter.com/t/1028288 (此贴被移入隐藏区,请参考备份 https://web.archive.org/web/20240330083006/https://www.v2etwitter.com/t/1028288)
简单来说,就是:
本次受到攻击的最终目标为Linux版sshd(这是个基础设施程序,用于远程连接),3月份最新测试版的Fedora和Debian都中了招;Arch Linux的sshd不受影响但xz命令和liblzma都受到污染。
现在这几个Linux已经采取了紧急更新措施,移除掉带毒软件。4月份释出的最新测试版可以放心使用。
至于苹果系统,暂时只影响到了少数homebrew用户,因为homebrew的xz-utils和liblzma刚好更新到了受污染版本。
过程简述:
一个名为Jia Cheong Tan的网络账号,持续3年为基础软件库xz-utils、liblzma提交代码,以取得信任。
最近xz-utils的原作者休假,Jia Cheong Tan趁机动手。他向测试验证过程做了手脚,一旦Linux发行版在编译过程后运行测试程序,就会触发“植入后门”,把后门植入xz 5.6.0 和 5.6.1,以及liblzma。
恰好,部分Linux的OpenSSH会用到liblzma(这是个重点,稍后再讲),于是sshd就带后门了。后果就是,后门作者及相关人士,都可以利用该后门随意进入Linux服务器。
然而该后门有bug,会导致CPU使用率飙升,被安全研究人员发现。阴谋就此曝光。
中招的sshd:
正常来说,OpenSSH (sshd的本体)是不需要用到liblzma的,但由于大多数Linux都使用systemd,为了方便起见,部分Linux就魔改了OpenSSH,跟systemd无缝集成。而systemd又需要用到liblzma,于是间接导致sshd受到感染。
这就是为什么Fedora和Debian都中了招,因为它们都魔改了OpenSSH。Arch Linux没有魔改OpenSSH,所以没事。
此外,Jia Cheong Tan还尝试催促Ubuntu收录最新版程序,好让后门顺利进入Ubuntu。
除了Linux和MacOS,其它系统呢?
还好的是,其它系统不受影响。
OpenSSH的源头是OpenBSD,现在已知OpenSSH本体不受影响,并且OpenBSD使用的xz和liblzma都不是最新版,所以OpenBSD没事。
其它BSD,都是直接用原版OpenSSH,并且xz和liblzma同样不是最新版,所以像FreeBSD、NetBSD之类的同样没事。
Windows 10、11的OpenSSH不依赖systemd,并且连xz和liblzma都不自带,因此也没事。
其它细节,为什么在标题加注“疑似中共技术特工”:
根据其他人的挖掘(请见前述v2ex讨论帖,可能需要登录查看),Jia Cheong Tan专门为龙芯架构提交过性能优化的代码。
而放眼全世界,最熟悉龙芯架构的也就华人。准确点说,是中共技术人员。
更重要一点,Jia Cheong Tan的作息十分有规律——“推上国外已经有人开始怀疑国内的人了,因为其规律的工作日提交时间,以及避开了国内法定节假日的时间”(来自前述v2ex讨论帖)
那么,熟悉龙芯架构、特意潜伏3年博取信任、作息时间恰好是中国作息规律的华人技术人员,很大概率就是中共技术特工。
附加一点个人看法
中共故意污染Linux已经不是一天两天的事情了。很早之前,它们就已经把自家的“国密算法”送进了Linux内核代码。这个相对好点,只要不用“国密算法”就行。
再加上近几年中共狂推“国产系统”,可以说,精通Linux的中共技术特工越来越多,Linux受到的威胁只会越来越大。
如果不是因为后门程序有bug,恐怕这毒就会长时间“驻扎”到各大Linux系统。毕竟Fedora和Debian都是基础性质的上游发行版,有不少发行版都是基于这两个修改而成。真出现这种情况的话,那就是地震式的安全威胁了。
