1140326弱點通告：IBM AIX 存在任意指令執行弱點，建議請管理者儘速評估更新！

 

風險等級：高度威脅 　

受影響廠牌如下：

* IBM AIX Level 7.2.5 (含)之前版本

* IBM AIX Level 7.3.1 (含)之前版本

* IBM AIX Level 7.3.2 (含)之前版本

* IBM AIX Level 7.3.3 (含)之前版本

* IBM VIOS Level 3.1.4 (含)之前版本

* IBM VIOS Level 4.1.0 (含)之前版本

* IBM VIOS Level 4.1.1 (含)之前版本

解決辦法：

請參考 IBM官方的說明和處理建議： IBM 強烈建議立即解決該弱點。 AIX 修復程序已可用。可以透過 https 下載 AIX 和 VIOS 修復程式： https://aix.software.ibm.com/aix/efixes/security/nim_fix.tar IBM AIX Level 7.2.5 版本 請遷移至更新後的SP10版本 IBM AIX Level 7.3.1 版本 請遷移至更新後的版本 IBM AIX Level 7.3.2 版本 請遷移至更新後的SP04版本 IBM AIX Level 7.3.3 版本 請遷移至更新後的SP01版本 IBM VIOS Level 3.1.4 版本 請遷移至3.1.4.60版本 IBM VIOS Level 4.1.0 版本 請遷移至4.1.0.40版本 IBM VIOS Level 4.1.1 版本 請遷移至4.1.1.10版本

細節描述：

IBM本周發布安全公告，修補AIX二個重大弱點，包含一個風險值10分的的弱點，可能允許遠端攻擊者執行任意指令。

CVE-2024-56346 : CVSS 10

由於程序控管不當，IBM AIX nimesis NIM 主服務可能允許遠端攻擊者執行任意指令。

CVE-2024-56347: CVSS 9.6

由於程序控管不當，IBM AIX nimsh 服務 SSL/TLS 保護機制可能允許遠端攻擊者執行任意指令。

HiNet SOC 建議管理者儘速評估更新，以降低受駭風險。

https://hisecure.hinet.net/secureinfo/hotnews.php

參考資訊：

ibm

 

1140326病毒通告：Trojan.Linux.XZBACKDOOR.A 木馬病毒

 

風險等級：低度威脅

解決辦法：

為防止系統受到該木馬的影響，建議使用者：? 使用防毒軟體掃描您的主機掃描您的電腦以刪除偵測為 Trojan.Linux.XZBACKDOOR.A的檔案。如果偵測到的檔案已被防毒軟體清理、刪除或隔離，則無需採取進一步措施。您可以選擇直接刪除被隔離的檔案。

細節描述：

Trojan.Linux.XZBACKDOOR.A，是一種針對 Linux 系統的木馬程式，透過在 XZ Utils 資料壓縮工具中植入惡意後門，允許攻擊者未經授權地遠端存取受感染的系統。

該木馬病毒會植入以下文件：

{Installation Directory}/.libs/liblzma_la-crc64-fast.o → Legitimate copy of {Installation Directory}/.libs/liblzma_la-crc64_fast.o

{Installation Directory}/.libs/liblzma_la-crc32-fast.o → Legitimate copy of {Installation Directory}/.libs/liblzma_la-crc32_fast.o

{Installation Directory}/liblzma_la-crc64-fast.o

{Installation Directory}/liblzma.so.5.6.0

該木馬病毒修改以下文件：

{Installation Directory}/.libs/liblzma_la-crc64_fast.c

{Installation Directory}/.libs/liblzma_la-crc32_fast.c

{Installation Directory}/src/liblzma/check/crc64_fast.c

{Installation Directory}/src/liblzma/check/crc32_fast.c

該木馬病毒會執行以下操作：

如果滿足以下條件，它將繼續執行其惡意程式

檢查 GNU 間接函數（IFUNC）支援。

要求共享函式庫支援。

檢查是否為 x86-64 Linux 環境。

檢查 CRC IFUNC 相關程式碼。

檢查 GNU 編譯器 (GCC) 與 GNU 連結器 (ld)。

檢查特定的壓縮文件。

檢查 liblzma/Makefile 是否包含特定內容：

am__uninstall_files_from_dir =

__get_cpuid(

am__install_max =

am__vpath_adj_setup =

am__include = include

all: all-recursive

LTLIBRARIES = $(lib_LTLIBRARIES)

AM_V_CCLD = $(am__v_CCLD_$(V))

am__install_max =

 

檢查 libtool 是否被配置為構建位置無關程式碼（PIC）。

檢查系統環境是否為基於 Debian 或 RPM 的發行版（x86_64）。

檢查被劫持的函式與隱藏的惡意載荷是否已成功注入至以下文件：

{Installation Directory}/src/liblzma/check/crc64_fast.c

{Installation Directory}/src/liblzma/check/crc32_fast.c

{Installation Directory}/src/liblzma/check/crc_x86_clmul.h

{Installation Directory}/src/liblzma/check/crc_x86_clmul.h

 

檢查 libtool 是否被設置為使用與 IFUNC 相容的標誌進行構建。

檢查是否未啟用延遲符號解析。

檢查惡意目標文件 liblzma_la-crc64-fast.o 是否存在。

 

當構建過程完成後，後門功能將被編譯並鏈接至以下文件：

{Installation Directory}/liblzma.so.5.6.0

它會等待 OpenSSH 連線，並間接加載 liblzma.so.5.6.0 文件，其中包含惡意程式

如果構建失敗，它會將以下檔案重新命名為其原始名稱

{Installation Directory}/liblzma_la-crc32-fast.o → .libs/liblzma_la-crc32_fast.o {Installation Directory}/liblzma_la-crc64-fast.o → .libs/liblzma_la-crc64_fast.o

 

它會刪除以下檔案以消除其在系統中的痕跡：

{Installation Directory}/.libs/liblzma.a {Installation Directory}/.libs/liblzma.la {Installation Directory}/.libs/liblzma.lai {Installation Directory}/.libs/liblzma.so {Installation Directory}/.libs/liblzma_la-crc64-fast.o

{Installation Directory}/.libs/liblzma_la-crc32-fast.o

{Installation Directory}/liblzma_la-crc64-fast.o

 

HiNet SOC 建議使用者不定期更新病毒碼，以降低受駭風險。

https://hisecure.hinet.net/secureinfo/hotnews.php

參考資訊：

Trend Micro https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/trojan.linux.xzbackdoor.a