2024年3月首次被发现的XZ-Utils后门程序,目前仍存在于Docker Hub上至少35个Linux系统中,这可能会将用户数据置于风险之中。
Docker Hub是由Docker运营的官方公共容器镜像仓库,开发者和企业可在此上传或下载预构建的镜像,并与社区共享。
许多CI/CD流水线、开发者及生产系统会直接从Docker Hub拉取镜像,将其作为自有容器的基础层。若这些镜像存在安全漏洞,新构建的容器也会继承其中的漏洞或恶意代码。Binarly的研究人员发现,仍有大量Docker镜像受到XZ-Utils后门程序的影响。
Binarly在报告中指出:“如果发行版软件包被植入后门,那么任何基于这些包构建的Docker镜像也会受到感染。然而,我们发现部分受感染的镜像仍在Docker Hub上公开可用,而其他镜像又以这些受感染的基础镜像为基础进行构建,导致感染范围进一步扩大。”
Binarly已将这些镜像报告给Debian(仍在提供带后门程序镜像的维护者之一),但Debian以风险较低且需保证归档连续性为由,决定不将这些镜像下线。
XZ-Utils后门程序(追踪编号为CVE-2024-3094)是隐藏在xz-utils压缩工具(5.6.0和5.6.1版本)的liblzma.so库中的恶意代码。
它通过glibc的IFUNC机制挂钩OpenSSH中的RSA_public_decrypt函数,因此,若拥有特殊私钥的攻击者通过SSH连接到受影响的系统,他们便能绕过身份验证,以root权限远程执行命令。
该后门程序由长期参与项目的贡献者“Jia Tan”秘密植入,并被包含在Debian、Fedora、OpenSUSE和Red Hat等官方Linux发行版软件包中,使其成为去年最严重的软件供应链安全事件之一。
由于后门程序发现及时,攻击者几乎没有机会利用它。Binarly、卡巴斯基等机构还发布了扫描工具,以帮助检测依赖的开源软件中是否存在该后门。
Debian的回应
令研究人员感到意外的是,Debian并未从Docker Hub撤回使用带后门版本库的64位镜像,目前至少有35个此类镜像仍可下载。
Binarly表示,这一数字仅部分反映了问题的实际规模,因为他们并未对平台上的所有镜像进行XZ-Utils后门程序扫描。
Binarly在报告中解释道:“我们发现了超过35个包含后门程序的镜像。虽然这个数字看似不大,但我们仅扫描了Docker Hub上发布的一小部分镜像,且只到二级镜像就停止了。”
Debian称,他们有意选择不从Docker Hub移除这些镜像,而是将其作为历史产物保留,并告知用户仅使用最新的镜像,而非旧版本。
维护者做出这一决定的原因是,他们认为该后门程序被利用的条件不太可能满足,例如需要容器中安装并运行sshd、攻击者能够网络访问该容器上的SSH服务,以及使用与后门触发逻辑匹配的私钥等。
Debian维护者的回应
但Binarly不同意这种做法,他们强调,仅仅让这些镜像可被公众获取,就会因意外拉取或在自动构建中使用而带来重大风险。
这一情况同样适用于所有可能包含受感染版本XZ-Utils后门程序的镜像,因此用户应手动检查,确保所用库的版本为5.6.2或更高(最新稳定版为5.8.1)。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
