XZ-Utils 后门(首次发现于 2024 年 3 月)目前仍存在于 Docker Hub 上至少 35 个 Linux 镜像中,这可能会对用户、组织及其数据造成安全风险。
Docker Hub 是由 Docker 官方运营的公共容器镜像仓库,开发者和组织可以在此上传、下载预构建镜像并与社区共享。许多 CI/CD 流水线、开发者以及生产系统都会直接从 Docker Hub 拉取镜像作为容器的基础层,如果这些镜像被入侵,新构建的系统也会继承相同的漏洞或恶意代码。
Binarly 研究人员发现,目前仍有大量 Docker 镜像受 XZ-Utils 后门影响。
Binarly 表示:“乍一看,这似乎并不令人惊讶——如果 Linux 发行版的软件包被植入后门,那么基于这些发行版构建的 Docker 镜像也会被感染。但令人担忧的是,这些受感染的镜像有一部分依然在 Docker Hub 上公开可下载,更严重的是,还有其他镜像在这些受感染的基础镜像之上构建,从而被间接感染。”
Binarly 将这些镜像上报给 Debian(仍在维护部分含后门镜像的组织之一),但 Debian 决定不将它们下架,理由是风险较低且需要保持归档的连续性。
XZ-Utils 后门背景
该后门编号 CVE-2024-3094,是隐藏在 xz-utils 压缩工具(版本 5.6.0 和 5.6.1)中的 liblzma.so 库恶意代码。它通过 glibc 的 IFUNC 机制挂钩 RSA_public_decrypt 函数,以便当攻击者使用特定私钥通过 SSH 连接到受影响系统时,可绕过身份验证并以 root 身份远程执行命令。
这一后门由长期项目贡献者 “Jia Tan” 暗中植入,并被打包进入包括 Debian、Fedora、OpenSUSE、Red Hat 在内的官方 Linux 发行版,使其成为去年最严重的软件供应链入侵事件之一。
幸运的是,该后门在早期就被发现,攻击者几乎没有机会大规模利用它。Binarly、卡巴斯基等安全机构随后发布了检测工具,帮助开源软件依赖方发现问题。
Debian 的回应
令研究人员意外的是,Debian 并未撤回 Docker Hub 上使用含后门库的 64 位镜像,其中至少 35 个仍可下载。Binarly 指出,这个数字只是问题规模的一部分,因为他们并未对 Docker Hub 全平台进行扫描。
Binarly 在报告中写道:“我们确认了 35 个携带后门的镜像。这个数字看似不多,但我们只扫描了极少部分镜像,并且仅追踪到二级依赖镜像。”
Debian 解释称,他们有意保留这些镜像作为历史档案,并建议用户只使用最新镜像,不要拉取旧版本。维护者认为,该漏洞的利用条件较苛刻,例如需要容器内安装并运行 sshd 服务、攻击者能够访问容器的 SSH 服务端口、且持有与后门触发逻辑匹配的私钥。
Debian 维护者的回应
来源:Binarly
Binarly 对此做法表示反对,强调这些镜像的公开可访问性本身就构成重大风险——无论是被误拉取,还是在自动化构建中被使用,都可能导致安全事件。
Binarly 还提醒,所有可能含有 XZ-Utils 后门的镜像都应进行手动检查,确保 xz-utils 版本至少为 5.6.2(当前最新稳定版为 5.8.1)。
发表评论
您还未登录,请先登录。
登录