Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Phát hiện backdoor XZ-Utils tồn tại trên Docker Hub

11:40 | 18/08/2025
Hồng Đạt

Backdoor XZ-Utils, mã độc được phát hiện lần đầu vào tháng 3/2024, vẫn tồn tại trong ít nhất 35 Linux image trên Docker Hub, có khả năng gây nguy hiểm cho người dùng, tổ chức và dữ liệu của họ.

Docker Hub là cơ quan đăng ký container image chính thức do Docker vận hành, cho phép các nhà phát triển và tổ chức upload hoặc tải xuống các image dựng sẵn và chia sẻ chúng với cộng đồng.

Nhiều quy trình CI/CD, nhà phát triển và hệ thống sản xuất lấy image trực tiếp từ Docker Hub làm lớp cơ sở cho container của riêng họ, nếu những image đó bị xâm phạm, bản build mới có khả năng sẽ tồn tại lỗ hổng hoặc mã độc. Mới đây, các nhà nghiên cứu của công ty bảo mật Binarly (Mỹ) đã phát hiện ra nhiều Docker image vẫn bị ảnh hưởng bởi backdoor XZ-Utils.

“Giả sử các gói phân phối có backdoor, thì bất kỳ Docker image nào dựa trên chúng cũng sẽ bị lây nhiễm. Chúng tôi phát hiện ra rằng một số image bị xâm phạm này vẫn có sẵn công khai trên Docker Hub. Đáng lo ngại hơn nữa, các image khác đã được xây dựng dựa trên các image bị lây nhiễm này”, Binarly đưa tin.

Binarly đã báo cáo những image này cho Debian có tồn tại backdoor XZ-Utils. Theo các nhà nghiên cứu, backdoor này (CVE-2024-3094, điểm CVSS: 10.0)) ẩn trong thư viện liblzma[.]so của công cụ nén xz-utils phiên bản 5.6.0 và 5.6.1, nó kết nối với hàm RSA_public_decrypt trong OpenSSH thông qua cơ chế IFUNC của glibc, do đó, nếu kẻ tấn công có khóa riêng đặc biệt được kết nối qua SSH với hệ thống bị ảnh hưởng, chúng có thể vượt qua xác thực và chạy lệnh từ xa với quyền root.

Docker cho biết thêm, sự cố backdoor XZ-Utils minh chứng rằng ngay cả mã độc tồn tại trong thời gian ngắn cũng có thể không bị phát hiện trong các container image chính thức, chúng có thể lây lan trong hệ sinh thái Docker.

Điều khiến các nhà nghiên cứu ngạc nhiên là Debian không bận tâm đến việc thu hồi các image có tồn tại backdoor từ Docker Hub, khi họ vẫn tìm thấy ít nhất 35 image trong số đó vẫn có thể tải xuống. Binarly bình luận rằng con số này chỉ phản ánh một phần quy mô thực sự của vấn đề, vì họ không thực hiện quét toàn bộ nền tảng để tìm backdoor XZ-Utils.

Trước những thông tin trên, Debian cho biết không xóa những image này khỏi Docker Hub, đồng thời yêu cầu người dùng chỉ sử dụng những image mới nhất chứ không phải image cũ. Debian nhận định rằng các yêu cầu để khai thác là không có khả năng xảy ra, chẳng hạn như yêu cầu sshd được cài đặt và chạy trên container, kẻ tấn công có quyền truy cập vào dịch vụ SSH trên container đó và sử dụng khóa riêng phải trùng khớp với logic kích hoạt của backdoor.

Binarly bày tỏ sự không đồng tình với cách tiếp cận này, nhấn mạnh rằng việc chỉ công khai những image này sẽ gây ra rủi ro đáng kể, do vô tình tải xuống hoặc sử dụng trong các bản build tự động. Vì thế, người dùng nên kiểm tra thủ công và đảm bảo thư viện đang ở phiên bản 5.6.2 trở lên (phiên bản ổn định mới nhất là 5.8.1).

Twitter Zalo Facebook YouTube Copy Link QR Code
CONTAINER IMAGE DOCKER HUB BACKDOOR XZ-UTILS DEBIAN MÃ ĐỘC DOCKER OPENSSH
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết