XZ Utils 백도어

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 배경
3. 작동 방식
4. 공격 주체 및 배후
5. 반응
- 5.1. 백도어 대응 패치
- 5.2. 업계 반응
6. 시사점
참조

1. 개요

XZ Utils 백도어는 XZ Utils 소프트웨어 패키지 5.6.0 및 5.6.1 릴리스에 삽입된 악성 코드로, SSH 서버의 보안을 훼손하여 원격 시스템에 대한 무단 접근을 가능하게 하는 백도어이다. 마이크로소프트 직원이자 PostgreSQL 개발자인 안드레스 프로인트에 의해 발견되었으며, Jia Tan이라는 사용자가 약 3년 동안 소셜 계정 조작을 통해 XZ Utils 프로젝트의 신뢰를 얻어 백도어를 삽입했다. 이 백도어는 오픈SSH의 RSA_public_decrypt 함수를 변조하여 작동하며, 시스템d 라이브러리를 악용하여 공격자가 인증된 관리자와 동일한 권한을 얻도록 설계되었다. 백도어 발견 이후, 여러 리눅스 배포판에서 업데이트를 취소하고 이전 버전으로 롤백했으며, 보안 연구원들은 이 백도어가 러시아의 APT29와 유사한 방식으로 작동한다고 분석했다.

더 읽어볼만한 페이지

2024년 컴퓨팅 - 2024년 크라우드스트라이크 사고
2024년 크라우드스트라이크 사고는 보안 소프트웨어 결함과 드라이버 업데이트 오류로 발생한 광범위한 시스템 중단 사태로, 전 세계 다양한 분야에서 서비스 지연, 시스템 충돌, 데이터 접근 제한 등의 피해를 야기하며 "역사상 가장 큰 IT 중단"으로 평가받고 있다.
트로이 목마 - 트로이 목마 (컴퓨팅)
겉으로는 정상적인 프로그램으로 위장하여 시스템에 침투해 악성 행위를 하는 트로이 목마는 시스템 손상, 정보 탈취, 자원 악용 등 다양한 피해를 유발하는 악성코드의 일종이며, 정부에서 사용하는 스파이웨어 형태도 존재하여 개인 정보 침해 논란을 야기한다.
트로이 목마 - 원격 관리 도구
원격 관리 도구는 원격 시스템을 제어하고 감시하는 소프트웨어로, 악성 소프트웨어인 RAT나 트로이 목마 형태로 존재하며, 백 오리피스, NetBus, PoisonIvy, DarkComet 등이 있다.
2020년대 해킹 - 그랜드 테프트 오토 VI
락스타 게임즈에서 개발 중인 그랜드 테프트 오토 VI는 플로리다를 모티브로 한 레오니다 주와 바이스 시티를 배경으로 루시아와 제이슨 두 범죄자의 이야기를 다루는 오픈 월드 액션 어드벤처 게임으로, 2025년 가을 출시를 목표로 하고 있다.
2020년대 해킹 - 어나니머스 (그룹)
어나니머스는 특정 집단을 지칭하지 않는 온라인 해커 및 행동주의자 연합체로, 인터넷 검열 반대와 사회 정의 실현 등의 이슈에 관여하며 해킹, 디도스 공격, 정보 공개 등의 활동을 펼치는 단체이다.

XZ Utils 백도어
기본 정보
Jia Tan이 기여한 이전 XZ 로고
개요
CVE	CVE-2024-3094
발견 시점	2024년 3월 27일 이전
공개 시점	2024년 3월 29일
패치 시점	2024년 3월 29일
발견자	안드레스 프런드
영향 받는 하드웨어	해당 없음
영향 받는 소프트웨어	xz / liblzma 라이브러리
사용처	해당 없음
웹사이트	XZ Utils 백도어

2. 배경

마이크로소프트 직원이자 PostgreSQL 개발자인 안드레스 프로인트는 데비안 Sid의 성능 회귀를 조사하던 중 이 백도어를 발견했다.^[58] 프로인트는 SSH 연결 시 CPU 사용량이 비정상적으로 높고, 메모리 디버깅 도구인 Valgrind에서 오류가 발생하는 것을 발견했다.^[59] 그는 이 발견을 오픈월 프로젝트의 오픈 소스 보안 메일링 리스트에 보고했고,^[60] 이는 여러 소프트웨어 공급업체의 관심을 끌었다.^[59] 백도어는 여러 단계로 실행되도록 구성된 난독화를 통해 숨겨져 있었다.^[61]^[62]^[63]

3. 작동 방식

XZ Utils 5.6.0 및 5.6.1 릴리스에는 백도어가 삽입되어 있다. 제3자 패치가 적용되지 않은 SSH 서버에서는 익스플로잇이 작동하지 않지만, 대부분의 리눅스 배포판에 적용된 패치로 인해 악의적인 행위자가 SSHD 인증을 깨고 원격으로 전체 시스템에 무단 액세스할 수 있다.^[64]

악성 코드는 두 개의 압축된 테스트 파일 형태로, glibc의 IFUNC 메커니즘을 사용하여 오픈SSH의 RSA_public_decrypt 함수를 악성 코드로 대체한다. 이 파일들은 깃 저장소에는 존재하지만, 압축 해제 후 프로그램에 삽입되기 전까지는 작동하지 않는다.^[57]

OpenSSH는 일반적으로 liblzma를 로드하지 않지만, 여러 Linux 배포판에서 사용하는 패치로 인해 libsystemd가 로드되고, 이는 다시 lzma를 로드한다.^[57] 깃허브에 업로드된 릴리스 tar 파일에 포함된 수정된 build-to-host.m4 파일은 liblzma에 백도어 주입을 수행하는 스크립트를 압축 해제한다. 이 수정된 m4 파일은 git 저장소에는 없으며, git과 별도로 관리자가 릴리스한 tar 파일에만 존재한다.^[57]

백도어 주입 스크립트는 시스템이 glibc 및 GCC를 사용하고, dpkg 또는 rpm 기반 x86-64 Linux 시스템인 경우에만 작동한다.^[57]

4. 공격 주체 및 배후

Jia Tan이라는 이름과 JiaT75라는 아이디를 사용하는 사용자가 약 3년 동안 프로젝트 내에서 신뢰를 얻기 위해 노력한 결과 백도어가 삽입되었다.^[1] 창립자와 유지관리자가 다른 새로운 참가자에게 프로젝트 제어권을 넘겨야 한다는 압력을 받은 후, Jia Tan은 XZ Utils의 공동 유지관리자 지위를 얻었고, 백도어가 삽입된 5.6.0 버전과 5.6.1 버전을 배포할 수 있었다.^[1]

이 백도어는 그 정교함과 공격자가 신뢰를 얻기 위해 오랜 시간 동안 높은 수준의 운영 보안을 실천했다는 점에서 주목받았다.^[1] 미국의 보안 연구원 Dave Aitel은 이것이 러시아 대외정보국의 지시를 받으며 활동하는 것으로 여겨지는 지능형 지속 공격단체인 APT29(코지 베어)의 행동 양식과 유사하다고 말했다.^[1] 저널리스트 토마스 클라번은 상당한 자원을 가진 국가 행위자 또는 비국가 행위자일 수 있다고 제안했다.^[1]

5. 반응

사이버보안 및 인프라 보안국은 영향을 받는 장치를 백도어가 삽입되지 않은 이전 버전으로 롤백해야 한다는 보안 권고를 발표했다.^[66] 레드햇, 수세, 데비안을 포함한 리눅스 소프트웨어 공급업체들은 이 권고에 따라 영향을 받는 패키지에 대해 업데이트를 취소하고 이전 버전으로 되돌렸다.^[64]^[67] 깃허브는 xz 소스 코드 저장소 미러를 비활성화했다가 다시 복원했다.^[21]

캐노니컬은 우분투 24.04 LTS 및 해당 배포판의 베타 릴리스를 일주일 연기하고 모든 배포판 패키지의 완전한 바이너리 재구축을 선택했다.^[22] 우분투의 안정적인 버전은 영향을 받지 않았지만 업스트림 버전은 영향을 받았다. 캐노니컬은 원래 릴리스 기한까지 발견된 백도어가 컴파일 중에 추가 패키지에 영향을 미치지 않는다고 보장할 수 없었기 때문에 이 예방 조치를 취했다.^[23] 2024년 5월 30일, 백도어가 제거된 버전 5.6.2가 공개되었다.^[48]

센티넬원의 알렉스 스타모스는 "이것은 모든 소프트웨어 제품에 설치된 백도어 중 가장 광범위하고 효과적인 백도어일 수 있었다"라고 했으며, 백도어가 탐지되지 않은 채로 남아 있었다면 "백도어 제작자에게 SSH를 실행하는 전 세계 수억 대의 컴퓨터에 대한 마스터 키를 제공했을 것"이라고 말했다.^[69] 또한 이 사건은 사이버 인프라의 중요한 부분을 무급 자원봉사자에게 의존시키는 문제에 대한 논의를 촉발시켰다.^[70]

5. 1. 백도어 대응 패치

사이버보안 및 인프라 보안국은 영향을 받는 장치가 백도어가 삽입되지 않은 이전 버전으로 롤백해야 한다는 보안 권고를 발표했다.^[66] 레드햇, 수세, 데비안을 포함한 리눅스 소프트웨어 공급업체들은 이 권고에 따라 영향을 받는 패키지에 대해 업데이트를 취소하고 이전 버전으로 되돌렸다.^[64]^[67] 깃허브는 xz 소스 코드 저장소 미러를 비활성화했다가 다시 복원했다.^[21]

캐노니컬은 우분투 24.04 LTS 및 해당 배포판의 베타 릴리스를 일주일 연기하고 모든 배포판 패키지의 완전한 바이너리 재구축을 선택했다.^[22] 우분투의 안정적인 버전은 영향을 받지 않았지만 업스트림 버전은 영향을 받았다. 캐노니컬은 원래 릴리스 기한까지 발견된 백도어가 컴파일 중에 추가 패키지에 영향을 미치지 않는다고 보장할 수 없었기 때문에 이 예방 조치를 취했다.^[23]

2024년 5월 30일, 백도어가 제거된 버전 5.6.2가 공개되었다.^[48]

5. 2. 업계 반응

센티넬원의 알렉스 스타모스는 "이것은 모든 소프트웨어 제품에 설치된 백도어 중 가장 광범위하고 효과적인 백도어일 수 있었다"라고 했으며, 백도어가 탐지되지 않은 채로 남아 있었다면 "백도어 제작자에게 SSH를 실행하는 전 세계 수억 대의 컴퓨터에 대한 마스터 키를 제공했을 것"이라고 말했다.^[69] 또한 이 사건은 사이버 인프라의 중요한 부분을 무급 자원봉사자에게 의존시키는 문제에 대한 논의를 촉발시켰다.^[70]

6. 시사점

(이전 출력이 비어 있으므로, 수정할 내용이 없습니다. 원본 소스와 요약이 제공되면 다시 시도해주세요.)

참조

_[1] 웹사이트 Understanding Red Hat’s response to the XZ security incident https://www.redhat.c[...] 2024-11-04
_[2] AV media Oxide and Friends 4/8/2024 -- Discovering the XZ Backdoor with Andres Freund https://www.youtube.[...] 2024-11-04
_[3] 웹사이트 Remove the backdoor found in 5.6.0 and 5.6.1 (CVE-2024-3094). https://github.com/t[...] 2024-06-19
_[4] 웹사이트 xz-utils backdoor situation (CVE-2024-3094) https://gist.github.[...] 2024-04-02
_[5] 웹사이트 Red Hat warns of backdoor in XZ tools used by most Linux distros https://www.bleeping[...] 2024-03-29
_[6] 웹사이트 CVE-2024-3094 https://nvd.nist.gov[...] NIST 2024-04-02
_[7] 웹사이트 A backdoor in xz https://lwn.net/Arti[...] 2024-04-02
_[8] 웹사이트 Beware! Backdoor found in XZ utilities used by many Linux distros (CVE-2024-3094) https://www.helpnets[...] 2024-03-29
_[9] 웹사이트 What we know about the xz Utils backdoor that almost infected the world https://arstechnica.[...] 2024-04-01
_[10] 웹사이트 oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise https://www.openwall[...] 2024-04-03
_[11] 웹사이트 Red Hat, CISA Warn of XZ Utils Backdoor https://duo.com/deci[...] 2024-03-29
_[12] 웹사이트 Malicious backdoor spotted in Linux compression library xz https://www.theregis[...] 2024-04-01
_[13] 웹사이트 Urgent security alert for Fedora 41 and Fedora Rawhide users https://www.redhat.c[...] Red Hat 2024-03-29
_[14] 웹사이트 Watching xz unfold from afar https://connortumble[...] 2024-04-06
_[15] 웹사이트 Timeline summary of the backdoor attack on XZ Utils https://gigazine.net[...] 2024-04-07
_[16] 간행물 The Mystery of 'Jia Tan,' the XZ Backdoor Mastermind https://www.wired.co[...] 2024-04-03
_[17] 웹사이트 Malicious xz backdoor reveals fragility of open source https://www.theregis[...] 2024-04-08
_[18] 웹사이트 Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 https://www.cisa.gov[...] CISA 2024-03-29
_[19] 웹사이트 SUSE addresses supply chain attack against xz compression library https://www.suse.com[...] SUSE 2024-03-29
_[20] 메일링 리스트 "[SECURITY] [DSA 5649-1] xz-utils security update" https://lists.debian[...] 2024-03-29
_[21] 웹사이트 Important information regarding xz-utils (CVE-2024-3094) https://about.gitlab[...] 2024-05-31
_[22] 웹사이트 Noble Numbat Beta delayed (xz/liblzma security update) https://discourse.ub[...] 2024-04-10
_[23] 웹사이트 Ubuntu 24.04 Beta Delayed Due to Security Issue https://www.omgubunt[...] 2024-04-10
_[24] 뉴스 Did One Guy Just Stop a Huge Cyberattack? https://www.nytimes.[...] 2024-04-04
_[25] 웹사이트 How one volunteer stopped a backdoor from exposing Linux systems worldwide https://www.theverge[...] 2024-04-04
_[26] 웹사이트 Remove the backdoor found in 5.6.0 and 5.6.1 (CVE-2024-3094). https://github.com/t[...] 2024-06-19
_[27] 웹사이트 A backdoor in xz https://lwn.net/Arti[...] 2024-04-02
_[28] 웹사이트 CVE-2024-3094 https://nvd.nist.gov[...] NIST 2024-04-02
_[29] 웹사이트 Red Hat warns of backdoor in XZ tools used by most Linux distros https://www.bleeping[...] 2024-03-29
_[30] 웹사이트 XZ Utils Backdoor – Everything You Need to Know, and What You Can Do https://www.akamai.c[...] 2024-04-02
_[31] 웹사이트 xz-utils backdoor situation (CVE-2024-3094) https://gist.github.[...] 2024-04-02
_[32] 웹사이트 Beware! Backdoor found in XZ utilities used by many Linux distros (CVE-2024-3094) https://www.helpnets[...] 2024-03-29
_[33] 웹사이트 oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise https://www.openwall[...] 2024-04-03
_[34] 웹사이트 What we know about the xz Utils backdoor that almost infected the world https://arstechnica.[...] 2024-04-01
_[35] 웹사이트 Red Hat, CISA Warn of XZ Utils Backdoor https://duo.com/deci[...] 2024-03-29
_[36] 웹사이트 Malicious backdoor spotted in Linux compression library xz https://www.theregis[...] 2024-04-01
_[37] 웹사이트 Urgent security alert for Fedora 41 and Fedora Rawhide users https://www.redhat.c[...] Red Hat 2024-03-29
_[38] 웹사이트 Watching xz unfold from afar https://connortumble[...] 2024-03-31
_[39] 웹사이트 Timeline summary of the backdoor attack on XZ Utils https://gigazine.net[...] 2024-04-03
_[40] 간행물 The Mystery of 'Jia Tan,' the XZ Backdoor Mastermind https://www.wired.co[...] 2024-04-03
_[41] 웹사이트 Malicious xz backdoor reveals fragility of open source https://www.theregis[...] 2024-04-08
_[42] 웹사이트 Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 https://www.cisa.gov[...] CISA 2024-03-29
_[43] 웹사이트 SUSE addresses supply chain attack against xz compression library https://www.suse.com[...] SUSE 2024-03-29
_[44] 간행물 "[SECURITY] [DSA 5649-1] xz-utils security update" https://lists.debian[...] 2024-03-29
_[45] 웹사이트 Important information regarding xz-utils (CVE-2024-3094) https://about.gitlab[...] 2024-05-31
_[46] 웹사이트 Noble Numbat Beta delayed (xz/liblzma security update) https://discourse.ub[...] 2024-04-03
_[47] 웹사이트 Ubuntu 24.04 Beta Delayed Due to Security Issue https://www.omgubunt[...] 2024-04-03
_[48] 웹사이트 Response to backdoor incident https://github.com/t[...] 2024-07-08
_[49] 웹사이트 The Story Behind The XZ Backdoor Is Way More Fascinating Than It Should Be https://www.techdirt[...] 2024-04-08
_[50] 웹사이트 How half-a-second of suspicious activity led an engineer to prevent a massive cyberattack https://english.elpa[...] 2024-04-10
_[51] 뉴스 Did One Guy Just Stop a Huge Cyberattack? https://www.nytimes.[...] 2024-04-03
_[52] 웹사이트 How one volunteer stopped a backdoor from exposing Linux systems worldwide https://www.theverge[...] 2024-04-02
_[53] 웹인용 A backdoor in xz https://lwn.net/Arti[...] 2024-04-02
_[54] 웹인용 CVE-2024-3094 https://nvd.nist.gov[...] NIST 2024-04-02
_[55] 웹인용 Red Hat warns of backdoor in XZ tools used by most Linux distros https://www.bleeping[...] 2024-03-29
_[56] 웹인용 XZ Utils Backdoor – Everything You Need to Know, and What You Can Do https://www.akamai.c[...] 2024-04-01
_[57] 웹인용 xz-utils backdoor situation (CVE-2024-3094) https://gist.github.[...] 2024-04-02
_[58] 웹인용 Beware! Backdoor found in XZ utilities used by many Linux distros (CVE-2024-3094) https://www.helpnets[...] 2024-03-29
_[59] 웹인용 What we know about the xz Utils backdoor that almost infected the world https://arstechnica.[...] 2024-04-01
_[60] 웹인용 oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise https://www.openwall[...] 2024-04-03
_[61] 웹인용 XZ Struck By Malicious Code That Could Allow Unauthorized Remote System Access https://www.phoronix[...] 2024-03-29
_[62] 웹인용 Red Hat, CISA Warn of XZ Utils Backdoor https://duo.com/deci[...] 2024-03-29
_[63] 웹인용 Malicious backdoor spotted in Linux compression library xz https://www.theregis[...] 2024-04-01
_[64] 웹인용 Urgent security alert for Fedora 41 and Fedora Rawhide users https://www.redhat.c[...] Red Hat 2024-03-29
_[65] 웹인용 The Mystery of ‘Jia Tan,’ the XZ Backdoor Mastermind https://www.wired.co[...] 2024-04-03
_[66] 웹인용 Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 https://www.cisa.gov[...] CISA 2024-03-29
_[67] 웹인용 SUSE addresses supply chain attack against xz compression library https://www.suse.com[...] SUSE 2024-03-29
_[68] 웹인용 GitHub Disables The XZ Repository Following Today's Malicious Disclosure https://www.phoronix[...] 2024-03-31
_[69] 웹인용 Did One Guy Just Stop a Huge Cyberattack? https://www.nytimes.[...] 2024-04-04
_[70] 웹인용 How one volunteer stopped a backdoor from exposing Linux systems worldwide https://www.theverge[...] 2024-04-04

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com