供应链攻击针对主要的Linux发行版

快速导读：几个主要的Linux发行版受到了一次供应链攻击，该攻击涉及到被植入后门的XZ Utils数据压缩库的版本。恶意代码是在2024年2月的XZ Utils 5.6.0版本中引入的，并在5.6.1版本中进行了进一步的混淆和错误修复。该代码旨在通过修改liblzma库提供未经身份验证的系统访问。后门通过systemd干扰sshd的身份验证，潜在地允许攻击者访问系统。

攻击细节及对Linux发行版的影响

XZ Utils库中的后门是由微软软件工程师Andres Freund发现的。恶意代码是通过tarball下载包在5.6.0版本中引入的，并在5.6.1版本中进行了进一步的修改。该代码修改了liblzma库中的特定函数，允许拦截和修改数据交互。Fedora、openSUSE、Kali Linux和Arch Linux等Linux发行版已确认受到了这次攻击的影响，而Debian、Ubuntu和其他发行版没有受到影响。

检测和缓解措施

软件供应链公司Binarly发布了一个名为XZ.fail的免费后门检测工具，可以检测出后门，并尽量减少误报。安全研究人员还开发了一个脚本，允许用户扫描他们的系统以查找恶意库。为了缓解这次攻击，建议用户将XZ Utils降级到干净的版本，并监控他们的系统是否出现任何恶意活动的迹象。美国网络安全局CISA已向开发人员和用户推荐了这些措施。

安全实践的意义和重要性

对XZ Utils的供应链攻击凸显了遵循最佳实践来保护系统的重要性。后门绕过身份验证协议并远程访问整个系统的潜力引发了对攻击者技术和漏洞不断演变的担忧。安全研究人员强调了需要额外的安全措施，例如避免将SSH直接暴露在互联网上。XZ Utils在各种Linux发行版中的广泛使用以及作为其他库的依赖性，突显了这次供应链攻击的广泛影响。