2024年3月，Linux流行壓縮工具xzUtils(5.6.0和5.6.1版本)曝出名為“XZ后門”的惡意軟件，震驚了全球安全社區。

　　該后門(如果成功進入Linux正式發行版)允許攻擊者通過SSH身份驗證繞過秘密訪問全球運行Linux的關鍵基礎設施系統并執行任意命令，堪稱“核彈級”后門。

　　XZ后門影響范圍廣泛，包括Debian、Ubuntu、Fedora、CentOS等多個主流Linux發行版(主要為測試和實驗版本)。由于liblzma庫被廣泛應用于各類軟件和系統中，因此潛在受影響的系統數量可能達到數百萬臺。

　　以下是受XZ后門影響的Linux發行版本最新核查清單：

　　Red Hat已確認Fedora Rawhide(Fedora Linux的當前開發版本)和FedoraLinux40beta包含存在后門的xz版本(5.6.0、5.6.1)，Red Hat Enterprise Linux(RHEL)版本不受影響。

　　OpenSUSE維護者表示，openSUSE Tumbleweed和openSUSE MicroOS版本在3月7日至3月28日期間的更新包含了受影響的xz版本，SUSE Linux Enterprise和/或Leap不受影響。

　　Debian穩定版本不受影響，受影響的是Debian測試、不穩定和實驗版本，Debian維護者“敦促這些版本的用戶更新xz-utils軟件包”。

　　OffSec證實，在3月26日至3月29日期間更新安裝的Kali Linux用戶會受到影響。

　　一些Arch Linux虛擬機和容器映像以及安裝介質包含受影響的XZ版本。

　　Ubuntu的所有發行版本均不受影響。

　　Linux Mint不受影響。

　　Gentoo Linux不受影響。

　　Amazon Linux客戶不受影響。

　　Alpine Linux不受影響。

　　檢測工具和腳本匯總

　　XZ后門曝光后，全球安全社區夜以繼日分析惡意樣本查找攻擊源頭，并不斷推出檢測工具和腳本，以下是最新匯總：

　　Freund檢測腳本。該腳本可以檢測容易遭受XZ后門利用的SSH二進制文件，以及檢查系統使用的liblzma庫是否包含后門。

　　https://support.nagios.com/forum/viewtopic.php?p=216847

　　Binarly在線掃描工具。允許用戶上傳任何二進制文件進行分析，查看是否存在后門植入。

　　https://www.binarly.io/news/binarly-releases-free-detection-tool-for-xz-backdoor

　　Bitdefender掃描工具。需要root權限才能運行(Bitdefender提供了工具源碼)，可以查找受感染的liblzma庫以及識別后門注入的字節序列。https://www.bitdefender.com.br/consumer/support/answer/27873/

　　YARA規則。ElasticSecurityLabs的研究人員公布了他們對XZ后門的分析報告，并提供了YARA規則、檢測規則以及osquery查詢，供Linux管理員用來發現可疑的liblzma庫和識別sshd行為異常。

　　https://www.elastic.co/security-labs

　　XZ-Hunter掃描工具。2024年4月10日，安全公司Intezer發布了一款名為“XZ-Hunter”的工具，可以用于檢測xz后門。該工具可以掃描系統中的所有文件，并識別出被后門感染的文件。

　　https://intezer.com/