漏洞平台

POC详情： 662ddce91cfd02f3c34904debb83941b5959acfd

来源

https://github.com/been22426/CVE-2024-3094

关联漏洞

标题： xz 安全漏洞 (CVE-2024-3094)
描述：xz是一个应用软件。用于支持读取和写入xz压缩流。 XZ Utils 5.6.0版本和5.6.1版本存在安全漏洞，该漏洞源于允许攻击者嵌入恶意代码。

描述

CVE-2024-3094 실습 환경 구축 및 보고

介绍

# CVE-2024-3094
CVE-2024-3094 실습 환경 구축 및 보고
# CVE-2024-3094 실습 

## XZ Utils 5.6.0 및 5.6.1에 삽입된 백도어를 실습 환경에서 재현하여, SSH 인증 후킹 여부 및 위험성을 분석하였습니다.

## 환경
- Host OS : - Windows 11
- Docker : Docker Desktop 28.0.1
- Dockerfile Base Image : debian:experimental-20240311
- liblzama5 version :  5.6.0
- SSH Port : 2222 (root / pw : whs)

## Dockerfile 
![image](https://github.com/user-attachments/assets/8bf5d1fa-a584-427f-861c-68348e53d096)

## docker-compose.yaml
![image](https://github.com/user-attachments/assets/d8ee9388-8aae-431b-96cf-d1a3b81d21e9)

## 실습 과정
1. Dockerfile + docker-compose.yaml 작성
2. 컨테이너 빌드 및 실행
docker compose up --build -d
![image](https://github.com/user-attachments/assets/a4045315-fb9f-4a28-9fee-88b4251576ac)

3. SSH 접속을 통해 시스템 접근
ssh root@localhost -p 2222
#password : whs
![image](https://github.com/user-attachments/assets/4eb3bc87-1491-4a53-ab55-9ff1d3f25996)

4. dpkg로 libzma5 버전이 5.6.0임을 확인
dpkg -l | grep libzlma
![image](https://github.com/user-attachments/assets/3bc9b59c-53aa-4f9a-97ca-80dd6206ba92)

5. sshd가 liblzma.so 사용 여부 확인
ldd /usr/sbin/sshd | grep lzma
![image](https://github.com/user-attachments/assets/3b16ea71-9336-497e-86e5-3acdc14ee84f)
- 출력 없음 -> 이 실습 환경에서는 sshd 바이너리가 liblzma.so와 동적 연결되지 않은 것으로 보이지만, 
liblzma5 취약 버전이 설치 된 것은 확인 되었다. 또한 PoC 실행 가능성도 확인 가능했다.

6. PoC 스크립트 작성
file name : poc_detect_backdoor.sh
![image](https://github.com/user-attachments/assets/05ca70f2-927d-4235-8d18-d26b490ef040)


7. 실행 결과
chmod +x poc_detect_backdoor.sh
./poc_detect_backdoor.sh
![image](https://github.com/user-attachments/assets/434d15dd-d661-476f-a456-4e477498ae33)

해당 결과를 통해 컨테이너 내에서 PoC 스크립트가 정상적 실행됨을 확인할 수 있었으며,
Dockerfile 및 docker-compose.yaml 만으로 실습 환경이 정상적으로 구성되었음을 입증 가능했습니다.

## 결론
- XZ 백도어가 포함된 취약 버전을 기반으로 Docker 환경을 구성하고, sshd가 해당 라이브러리를 참조하고 있는지 확인 후, 간단한 PoC 실행으로 동작 검증까지 수행했습니다.
- Dockerfile 및 docker-compose.yaml 만으로 재현 가능함을 확인했습니다.
- 해당 취약점을 보안하는 방법은 취약한 XZ 버전을 제거하거나 패치된 버전으로 업그레이드 하는 방안이 있습니다.

文件快照


 [4.0K]  /data/pocs/662ddce91cfd02f3c34904debb83941b5959acfd
├── [ 157]  docker-compose.yaml
├── [ 434]  Dockerfile
└── [2.6K]  README.md

0 directories, 3 files

神龙机器人已为您缓存

备注

1. 建议优先通过来源进行访问。

2. 如果因为来源失效或无法访问，请发送邮箱到 f.jinxu#gmail.com 索取本地快照（把 # 换成 @）。

3. 神龙已为您对POC代码进行快照，为了长期维护，请考虑为本地POC付费，感谢您的支持。