2024년 3월 29일, 개발자와 시스템 관리자들 사이에서 널리 사용되는 압축 도구인 xz-utils에서 백도어가 발견되었습니다. 이 소프트웨어는 리눅스와 macOS 시스템에서 흔히 사용되며, 소프트웨어 패키지, 커널 이미지 등을 압축하는 데 사용됩니다. 발견된 백도어는 특정 조건이 충족될 때만 활성화되며, 원격에서 비권한 시스템이 공개 SSH 포트에 연결할 때 트리거될 수 있습니다. 이는 성능 문제를 일으키고, 더 깊은 분석이 필요한 상태입니다.

영향을 받는 시스템은 다음과 같습니다:

- glibc를 사용하는 배포판
- xz 또는 liblzma의 버전 5.6.0 또는 5.6.1을 설치한 시스템

주로 systemd와 패치된 openssh를 사용하는 시스템이 취약하다고 알려져 있으나, 다른 구성에서도 취약할 수 있습니다. 만약 여러분의 시스템이 공개적으로 접근 가능한 sshd를 운영하고 있다면, 취약성에 대응하기 위해 즉시 시스템을 업데이트하는 것이 중요합니다.

백도어는 빌드 과정에서 악의적인 테스트 데이터를 사용하여 소스 코드에 삽입되며, glibc의 IFUNC 메커니즘을 이용해 OpenSSH의 인증 루틴을 우회합니다. 이는 정상적인 사용을 위한 도구이지만, 이 경우 공격 경로로 악용되었습니다.

백도어가 활성화되면, /usr/sbin/sshd 프로세스 이름을 가진 실행 중인 프로그램에 대해 페이로드가 활성화됩니다. 다른 시나리오에서도 활성화될 수 있으며, 페이로드가 의도하는 바는 아직 분석 중입니다.

조치 방법:

- 취약한 버전의 xz-utils를 사용하는 시스템은 가능한 한 빨리 최신 버전으로 업데이트해야 합니다.
- 공식 웹사이트나 신뢰할 수 있는 소스를 통해 패치를 적용하십시오.
- 시스템 보안 팀이나 커뮤니티의 지침을 따르고, 추가적인 취약점에 대비하여 모니터링을 강화해야 합니다.
- 취약 버전 확인 방법: strings `which xz` | grep '5.6.[01]'XZ Utils 다운그레이드: 5.6.1 이하 버전

리눅스 및 맥 사용자, 개발자 라면 필히 패치(대표적으로 [brew]) 해야 합니다.

[10 점으로 최고 위협 등급] 입니다.