2024年3月，Linux流行壓縮工具xzUtils（5.6.0和5.6.1版本）曝出名為“XZ后門”的惡意軟件，震驚了全球安全社區(qū)。

該后門（如果成功進入Linux正式發(fā)行版）允許攻擊者通過SSH身份驗證繞過秘密訪問全球運行Linux的關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)并執(zhí)行任意命令，堪稱“核彈級”后門。

XZ后門影響范圍廣泛，包括Debian、Ubuntu、Fedora、CentOS等多個主流Linux發(fā)行版（主要為測試和實驗版本）。由于liblzma庫被廣泛應(yīng)用于各類軟件和系統(tǒng)中，因此潛在受影響的系統(tǒng)數(shù)量可能達到數(shù)百萬臺。

以下是受XZ后門影響的Linux發(fā)行版本最新核查清單：

• Red Hat已確認Fedora Rawhide（Fedora Linux的當前開發(fā)版本）和FedoraLinux40beta包含存在后門的xz版本（5.6.0、5.6.1），Red Hat Enterprise Linux(RHEL)版本不受影響。
• OpenSUSE維護者表示，openSUSE Tumbleweed和openSUSE MicroOS版本在3月7日至3月28日期間的更新包含了受影響的xz版本，SUSE Linux Enterprise和/或Leap不受影響。
• Debian穩(wěn)定版本不受影響，受影響的是Debian測試、不穩(wěn)定和實驗版本，Debian維護者“敦促這些版本的用戶更新xz-utils軟件包”。
• OffSec證實，在3月26日至3月29日期間更新安裝的Kali Linux用戶會受到影響。
• 一些Arch Linux虛擬機和容器映像以及安裝介質(zhì)包含受影響的XZ版本。
• Ubuntu的所有發(fā)行版本均不受影響。
• Linux Mint不受影響。
• Gentoo Linux不受影響。
• Amazon Linux客戶不受影響。
• Alpine Linux不受影響。

檢測工具和腳本匯總

XZ后門曝光后，全球安全社區(qū)夜以繼日分析惡意樣本查找攻擊源頭，并不斷推出檢測工具和腳本，以下是最新匯總：

• Freund檢測腳本。該腳本可以檢測容易遭受XZ后門利用的SSH二進制文件，以及檢查系統(tǒng)使用的liblzma庫是否包含后門。
  https://support.nagios.com/forum/viewtopic.php?p=216847
• Binarly在線掃描工具。允許用戶上傳任何二進制文件進行分析，查看是否存在后門植入。
  https://www.binarly.io/news/binarly-releases-free-detection-tool-for-xz-backdoor
• Bitdefender掃描工具。需要root權(quán)限才能運行（Bitdefender提供了工具源碼），可以查找受感染的liblzma庫以及識別后門注入的字節(jié)序列。https://www.bitdefender.com.br/consumer/support/answer/27873/
• YARA規(guī)則。ElasticSecurityLabs的研究人員公布了他們對XZ后門的分析報告，并提供了YARA規(guī)則、檢測規(guī)則以及osquery查詢，供Linux管理員用來發(fā)現(xiàn)可疑的liblzma庫和識別sshd行為異常。
  https://www.elastic.co/security-labs
• XZ-Hunter掃描工具。2024年4月10日，安全公司Intezer發(fā)布了一款名為“XZ-Hunter”的工具，可以用于檢測xz后門。該工具可以掃描系統(tǒng)中的所有文件，并識別出被后門感染的文件。
  https://intezer.com/