資安人科技網Everything I know about the XZ backdoor

我整理了一下整個事件，可以參考@Reco_F - #CVE-2024-3094 #xz後門 事件報告 駭客潛伏三年，企圖在 xz-ut...

Reco_F: GJ

Reco_F: 感謝，這手法也太兇......

剛用 xz --version 檢查了自己其中一台機器

其他更新順便檢查一輪，機器重啟。

f787f: 好可怕的人 潛伏三年

ivanusto: 機器重啟?? 你有申請down time嗎??

我看了下時間序，2021該駭客剛加入相關項目的開發，就嘗試提交沒有攻擊性但降低安全性的PR來測試整個專案的審核嚴謹，結果測試成功、有疑慮的PR被合併，駭客才開始進行更進一步的攻擊。

整個攻擊序除了橫跨三年，還有多位不同角色在攻擊中協作，例如第三者對專案管理者施壓說需要新功能、第三者要求盡快加入駭客當時提交的安全性修復等

帶有後門的 xz 版本推出後，駭客利用各個多個儲存庫對問題版本的xz進行更新請求，以提高此版本的可信度。

然後多個匿名的帳號使用者(過去幾乎沒有活動)也推動將此版本納入專案中，並且有(現在看起來可疑的)對此版本的討論與感謝更新的回覆。

這個攻擊是包含團隊與社交攻擊-對開源社群的...

Reco_F: 特定機器⚙️我的權限最高 ：）

全部的MIS都忙了起來

f787f: 一人分飾多角的樣子

這也算社交工程了吧

供應鏈攻擊

是社交工程，很類似詐騙集團的手法，但詐騙集團是分飾警察、法官、銀行、客服；而這個則是開發者、回報者、使用者、維護者XD

真是有創意，令我不寒而慄XD

我中午才更新...Qrz

Reco_F: 也成了讓該專案更有可性度的人之一，就是詐騙集團拿出來說你看OOO也有用我們的產品的OOO XDDD

Reco_F: 你降版了還是？

ivanusto: 我才覺得太舊不必動xz (XZ Utils) 5.4.1，想不到你更舊5.2.5 呵呵，都同一家

可能LTS不太受影響

ivanusto: 我擔心的是其他的，像openwrt ....

f787f: 我覺得糟糕的是
其他專案也可能會發生

為了改善流程安全
很多專案的時程都會被拉長吧？

openwrt 目前看來不受影響，Freebsd 天生抵抗。

ivanusto: 不會吧?? 才一個ssh版本而已

自己來架個opensense 也不錯阿

Reco_F: 不是 我的意思是
如果其他駭客也群起用這樣的方式攻擊其他軟體專案
是有可能讓大家提高審核時間與流程成本等等☝️

都用社交工程與供應鏈攻擊來逐一打擊不同套件與專案

最有可能而且影響最大的就是openwrt啦，然後還有一些他們推出來的翻牆軟體以及整合軟體像是寶塔或者是istore這些DIY玩家的東西，還好我從來不用

所以才讓人不寒而慄~
這個攻擊是三年前就開始執行，我們現在只是在一個專案裡發現，這N年間的其他專案就...XD

還有一些中國的ssh及遠端軟體那些

我前陣子(2024)才打算放棄陪我很久的freebsd，結果報應了

f787f: 所以假設有其他專案也是這樣 要清查就需要時間了 然後現在開始各專案的審查時間會拉長 我猜

各專案的審核測試會更加標準化了吧

Reco_F: 希望可以遏阻一些駭客用這樣的方式滲透

遏阻很難，但先前砍掉的一些職位又會開起來了吧

Reco_F: 有可能

好在我後來轉用MXLinux，最新版的MXLinux 23基於Debian 12 （bookworm），xz-tuils 還是5.4.1-0.2

MGdesigner: GJ

MGdesigner: MX 有什麼特點啊？

感謝解說

leafy7382:
1. 相當於Debian + mx開發的獨家一系列好用的公用程式，讓Debian更好用 ，另外預設的桌面使用方面也調整到比Debian的好，有自己獨到的想法

2.其中有一個工具，讓你輕鬆DIY出自己變體的MX Linux發行版（相對於傳統作法），可以針對自己的特定領域業務做出非官方特化版(respin) ，比方說學校電腦教室用、工廠用.、特定CPU/顯示卡對應用等等特殊部屬版，或者是可讀可寫的開機版隨身碟系統 ...etc

3.反譜歸真，使用 sysvinit ，而不是systemd，好處是可讀性、易維護性，開機速度方面，由於現代都是ssd硬碟， sysvinit跟 systemd的開機差距也只差2~3 秒，另外為了特定程式的相容性，也可以選擇用systemd模式開機

我也是Debian體系,5.4.1.. +1

openssh does not directly use liblzma. However debian and several other distributions patch openssh to support systemd notification, and libsystemd does depend on lzma.