据外媒消息,网络安全界仍在应对 2024 年 3 月引发震动的 xz utils 后门事件影响。这场由化名 “jia tan” 的开发者策划的为期两年活动,已演变成持续威胁。恶意行为者在 xz utils 项目中通过合法贡献建立信誉后,在 xz - utils 软件包植入复杂后门,影响了 debian、fedora 和 opensuse 等主要 linux 发行版。
研究人员调查发现,首次发现 xz utils 后门一年多后,它对容器化环境仍构成重大风险。对 docker hub 仓库分析显示,超 35 个受感染镜像,其中 12 个基于 debian 的容器仍可公开获取并传播受攻击代码。不仅有第一代受感染镜像,还发现大量基于受攻击 debian 基础镜像构建的第二代容器,涵盖多种用例,展示了攻击在容器化生态系统中的传播。
docker 环境中后门持续存在,暴露出容器安全生命周期管理挑战。与传统软件更新不同,容器镜像发布后多为静态。恶意代码通过与系统进程集成的 liblzma.so 库维持功能,利用 ifunc 解析器修改重定向函数调用,在容器初始化 ssh 服务时建立挂钩,创建持久访问通道,依赖表面漏洞扫描工具的组织检测面临极大挑战。
