研究人员在数十个 Docker Hub 镜像中发现 XZ Utils 后门，加剧供应链风险

事件发现一年多后，新的研究发现 Docker Hub 上的 Docker 镜像包含臭名昭著的 XZ Utils 后门。

Binarly REsearch 在与 The Hacker News 分享的一份报告中表示 ，更令人不安的是，其他图像是在受感染的基础图像之上构建的，从而有效地以传递的方式进一步传播感染。

这家固件安全公司表示，共发现35个带有该后门的镜像。此次事件再次凸显了软件供应链面临的风险。

Binarly 的 Alex Matrosov 告诉该出版物，调查是在其一位客户的环境中检测到恶意代码后引发的，最终发现这些图像是从 Docker Hub 中提取的。

XZ Utils 供应链事件（CVE-2024-3094，CVSS 评分：10.0）于 2024 年 3 月下旬曝光 ，当时 Andres Freund 对 XZ Utils 5.6.0 和 5.6.1 版本中嵌入的后门发出了警报。

对恶意代码和更广泛的危害的进一步分析导致了几个惊人的发现 ，首先也是最重要的是后门可能导致未经授权的远程访问并通过 SSH 执行任意有效载荷。

具体来说，后门（放置在 liblzma.so 库中并由 OpenSSH 服务器使用）的设计使得它在客户端与受感染的 SSH 服务器交互时触发。

“通过使用 glibc 的 IFUNC 机制劫持 RSA_public_decrypt 函数，恶意代码允许拥有特定私钥的攻击者绕过身份验证并远程执行 root 命令，”Binarly 解释道。

第二个发现是，这些变化是由名为“Jia Tan”（JiaT75）的开发人员推动的，他花了近两年时间为开源项目做出贡献以建立信任，直到他们被赋予维护者的责任，这表明攻击的细致性。

“这显然是一项由政府资助的、非常复杂的手术，其精密程度令人印象深刻，而且经过了多年的筹划，”比纳利当时指出。“如此复杂且专业设计的综合植入框架并非为一次性手术而开发。”

该公司的最新研究表明，即使过了这么多月，该事件的影响仍在开源生态系统中持续产生余震。

其中包括发现 12 个包含其中一个 XZ Utils 后门的 Debian Docker 镜像，以及另一组包含受感染 Debian 镜像的二阶镜像。

Binarly 表示，它已将基础镜像报告给 Debian 维护人员，后者表示他们“有意将这些文物保留下来，作为历史珍品，特别是考虑到以下极不可能（在容器/容器镜像用例中）被利用的因素。”

然而，该公司指出，尽管成功利用该漏洞需要满足以下条件：需要在运行 SSH 服务的情况下通过网络访问受感染的设备，但公开包含潜在可通过网络访问的后门的 Docker 镜像仍会带来重大的安全风险。

它补充道：“xz-utils 后门事件表明，即使是短暂的恶意代码也可以在官方容器镜像中长期不被注意，并且可以在 Docker 生态系统中传播。”

“这种延迟凸显了这些工件如何通过 CI 管道和容器生态系统悄悄地持续存在和传播，这强化了除了简单的版本跟踪之外，对持续二进制级监控的迫切需求。”