Docker Hub 仍然託管著數十個帶有 XZ 後門的 Linux 映像
一、 前言:供應鏈攻擊的餘波未了
2024 年 3 月,一起震驚全球資訊安全界的供應鏈攻擊事件被揭露,代號為 CVE-2024-3094 的 XZ-Utils 後門,被發現潛藏在 xz-utils 壓縮工具的 5.6.0 和 5.6.1 版本中。這個惡意程式碼由一名長期貢獻者「Jia Tan」植入,旨在透過 SSH 服務讓攻擊者無需驗證即可取得系統 root 權限,進而完全控制受感染的系統。儘管該後門已在第一時間被修補,但根據 Binarly 最新的研究報告,其餘波仍在持續影響著容器生態系。研究人員發現,在廣受使用的 Docker Hub 平台上,至少有 35 個 Linux 映像檔至今仍帶有此惡意後門,對廣大的開發者和企業構成持續性的資安風險。
二、 XZ-Utils 後門的運作機制與潛在風險
XZ-Utils 後門利用了複雜且隱蔽的手法,將惡意程式碼藏匿在 liblzma.so 函式庫中。其設計目的是在特定的 Linux 發行版(如 Debian、Fedora、OpenSUSE 和 Red Hat 等)上,當 sshd 服務運行時,能夠攔截並執行攻擊者提供的惡意指令。儘管要觸發後門需要滿足多個條件(例如容器內必須運行 SSH 服務,且攻擊者需擁有與後門程式匹配的私鑰),但這並不意味著風險可以被忽視。
對此,部分 Linux 發行版維護者,例如 Debian,選擇不主動下架這些帶有後門的舊版映像檔。他們的理由是,後門的利用條件較為苛刻,且為了維護檔案庫的連續性,他們更傾向於建議使用者主動更新至最新且安全的版本。然而,資安社群對此立場存在爭議。Binarly 認為,只要這些帶有後門的映像檔仍然公開可取得,就存在被不知情的開發者意外使用的風險,尤其是在自動化建構流程或舊專案中。一個意外的使用可能導致後門被激活,成為未來攻擊的潛在破口。
三、 對開發者與企業的建議
面對 Docker Hub 上仍存在的 XZ-Utils 後門映像檔,開發者與企業必須採取主動措施來保護其應用程式與基礎設施:
- 手動檢查與更新:開發者應立即檢查其專案所使用的 Linux 基礎映像檔,確保
xz-utils 的版本為 5.6.2 或更高。對於任何使用舊版映像檔的容器,都應盡快重建並更新至安全版本。 - 實施容器掃描:企業應在 CI/CD 流程中導入容器映像檔掃描工具,自動偵測並標記任何已知的軟體漏洞(CVE),包括 XZ-Utils 後門。這可以確保在部署前,所有映像檔都已通過安全檢查。
遵循最小權限原則:在建立容器時,應遵循最小權限原則,僅安裝必要的工具和服務。例如,如果容器不需要 SSH 服務,就不應在其中安裝和運行 sshd。這可以有效降低後門被利用的機會。
四、 結論
XZ-Utils 後門事件不僅是一次技術性的攻擊,更是對軟體供應鏈信任的嚴重打擊。即使事件已發生數月,其遺留的資安風險依然存在。Docker Hub 上帶有後門的 Linux 映像檔,提醒資安防護必須是一個持續性的過程,不能僅僅依賴於漏洞修補。開發者與企業必須從根本上強化其容器安全管理,建立一套從開發到部署,全程監控與審核的安全機制,才能有效應對這類隱蔽而持久的供應鏈威脅。
資料來源:https://www.bleepingcomputer.com/news/security/docker-hub-still-hosts-dozens-of-linux-images-with-the-xz-backdoor/
知名容器平台 Docker Hub 上,仍有數十個 Linux 映像檔受 XZ-Utils 後門(CVE-2024-3094)影響。分析了此後門的運作機制與其帶來的潛在資安風險,並探討了 Debian 維護者對此問題的處理方式。