Bill Toulas 透過 BleepingComputer 報道: 韌體安全公司 Binarly 發布了一款免費的線上掃描程序,用於檢測受 XZ Utils 供應鏈攻擊影響的 Linux 可執行文件,該攻擊的編號為 CVE-2024-3094。 CVE-2024-3094 是 XZ Utils 中的供應鏈妥協,XZ Utils 是許多主要 Linux 發行版使用的一組資料壓縮工具和函式庫。上個月末,微軟工程師 Andres Freud 在調查 Debian Sid(Linux 發行版的滾動版本)中異常緩慢的 SSH 登入時發現了最新版本的 XZ Utils 軟體包中的後門。
該後門是由一位匿名貢獻者在 XZ 5.6.0 版本中引入的,並且也存在於 5.6.1 中。然而,只有少數遵循「最先進」升級方法的 Linux 發行版和版本受到影響,並且大多數都使用先前的安全性庫版本。發現後門後,啟動了偵測和修復工作,CISA 建議降級 XZ Utils 5.4.6 Stable 並蒐索和報告惡意活動。
Binarly 表示,迄今為止在威脅緩解工作中採取的方法依賴於簡單的檢查,例如位元組字串匹配、檔案雜湊阻止清單和 YARA 規則,這可能會導致誤報。這種方法可能會導致嚴重的警報疲勞,並且對於檢測其他項目中的類似後門沒有用處。為了解決這個問題,Binarly 開發了一種專門的掃描儀,適用於與特定庫具有相同後門的文件。 […] Binarly 的掃描器透過掃描各個供應鏈點(而不僅僅是 XZ Utils 專案)來提高其偵測能力,從而使結果更加可靠。二進制製作 提供免費 API 它還支援批量掃描。
