/cdn.vox-cdn.com/uploads/chorus_asset/file/23318435/akrales_220309_4977_0232.jpg)
1712103973
2024-04-02 23:38:26
世界で最も広く使用されているオープンソース オペレーティング システムである Linux は、イースターの週末に大規模なサイバー攻撃からかろうじて逃れることができました。これはすべて、1 人のボランティアのおかげです。
このバックドアは、XZ Utils と呼ばれる Linux 圧縮形式の最近のリリースに挿入されていました。このツールは、Linux の世界以外ではほとんど知られていませんが、大きなファイルを圧縮して転送を容易にするために、ほぼすべての Linux ディストリビューションで使用されています。 もしこれがもっと広範囲に広がっていたら、数え切れないほどのシステムが何年も侵害されたままになっていたかもしれません。
そしてとして アルス テクニカ その中で指摘されている 徹底的な要約犯人は公の場でプロジェクトに取り組んでいた。
Linux のリモート ログインに組み込まれたこの脆弱性は、単一のキーにのみさらされるため、公共のコンピュータのスキャンから隠れることができます。 として ベン・トンプソンが書いている 戦略。 「世界中のコンピュータの大部分が脆弱になり、誰も気づかないでしょう。」
XZ バックドア発見の物語は、サンフランシスコを拠点とする Microsoft 開発者の Andres Freund 氏が Mastodon に投稿したように、3 月 29 日の早朝に始まります。 電子メールを送信しました OpenWall のセキュリティ メーリング リストに、「上流の xz/liblzma のバックドアが ssh サーバーの侵害につながる」という見出しを付けて投稿しました。
Linux ベースのデータベースである PostgreSQL の「メンテナ」としてボランティアをしているフロイント氏は、過去数週間テストを実行しているときに、いくつかの奇妙なことに気づきました。 XZ 圧縮ライブラリの一部である liblzma への暗号化されたログインは、大量の CPU を消費していました。 彼が使用したパフォーマンスツールはどれも何も明らかにしなかった、とフロイント氏はマストドンについて書いている。 これを聞いて彼はすぐに疑念を抱き、メモリ エラーをチェックする Linux のプログラム Valgrind について、数週間前に Postgres ユーザーから寄せられた「奇妙な苦情」を思い出しました。
いくつかの調査の後、フロイントは最終的に何が問題なのかを発見しました。 「上流の xz リポジトリと xz tarball はバックドアで仕組まれています」と Freund 氏は電子メールで指摘しました。 悪意のあるコードは、xz ツールおよびライブラリのバージョン 5.6.0 および 5.6.1 に含まれていました。
その直後、エンタープライズ オープンソース ソフトウェア会社 Red Hat が 緊急セキュリティ警報 最終的に、同社は、Fedora Linux 40 のベータ版には、影響を受ける xz ライブラリの 2 つのバージョンが含まれていると結論付けました。 Fedora Rawhide バージョンも、バージョン 5.6.0 または 5.6.1 を受け取った可能性があります。
仕事または個人的な活動での FEDORA RAWHIDE インスタンスの使用を直ちに中止してください。 Fedora Rawhide は間もなく xz-5.4.x に戻され、それが完了すると、Fedora Rawhide インスタンスを安全に再デプロイできるようになります。
無料の Linux ディストリビューションである Debian のベータ版には侵害されたパッケージが含まれていましたが、そのセキュリティ チームは、 迅速に行動した それらを元に戻します。 Debian の Salvatore Bonaccorso 氏は金曜日の夜、ユーザーに対するセキュリティ警告の中で、「現時点で影響を受けることが確認されている Debian 安定版はありません」と述べています。
Freund は後に、悪意のあるコードを提出した人物が、JiaT75 または Jia Tan として知られる 2 人の主要な xz Utils 開発者の 1 人であることを特定しました。 「数週間にわたる活動を考えると、コミッターが直接関与しているか、システムにかなり深刻な侵害があったかのどちらかです。 残念なことに、彼らが上記の「修正」についてさまざまなリストでやり取りしていたことを考えると、後者の説明は可能性が低いように見えます」とフロイントは著書で書いています。 分析JiaT75 によって作成されたいくつかの回避策をリンクした後。
JiaT75 はよく知られた名前で、しばらくの間、.xz ファイル形式の最初の開発者である Lasse Collin と協力して働いていました。 プログラマーのラス・コックス氏が著書で指摘したように、 タイムラインJiaT75は、2021年10月に明らかに正規のパッチをXZメーリングリストに送信することから始まりました。
数か月後には、他の 2 人の正体、ジガー・クマールとデニス・エンスが、この計画の他の部分を明らかにしました。 苦情のメールを送り始めた Collin にバグとプロジェクトの開発の遅さについて伝えました。 ただし、レポートで指摘されているように、 エヴァン・ボース 他にも、「Kumar」と「Ens」は XZ コミュニティの外で目撃されたことはなく、捜査当局はどちらも Jia Tan がバックドア コードを配信する位置に就くのを助けるためだけに存在した偽物であると考えています。
「Jigar Kumar」からの電子メールは、XZ Utils の開発者にプロジェクトの管理を放棄するよう圧力をかけました。 画像: からのスクリーンショット メールアーカイブ
「あなたの精神的健康問題については残念ですが、自分自身の限界を認識することが重要です。 これがすべての寄稿者にとって趣味のプロジェクトであることは理解していますが、コミュニティはさらに多くのことを望んでいます」と Ens 氏はあるメッセージで書き、Kumar 氏は別のメッセージで「新しいメンテナーが現れるまで進歩は起こらない」と述べました。
こうしたやり取りのさなか、コリンズさんは「興味を失ったわけではないが、主に長期にわたる精神的健康上の問題だけでなく、その他のこともあり、私のケア能力はかなり制限されている」と書き、ジア・タンさんが次のようなことをするだろうと示唆した。より大きな役割について。 「これは無償の趣味のプロジェクトだということも心に留めておくとよいでしょう」と彼は結論づけた。 「Kumar」と「Ens」からの電子メールは、その年の後半に Tan がメンテナとして追加され、変更を加えることができ、より強力な権限でバックドア パッケージを Linux ディストリビューションに取り込もうとするまで続きました。
xz バックドア事件とその余波は、オープンソースの美しさとインターネットのインフラストラクチャの顕著な脆弱性の両方の例です。
人気のオープンソース メディア パッケージである FFmpeg の開発者は、この問題を強調しました ツイートで、「xzの大失敗は、無給のボランティアへの依存が大きな問題を引き起こす可能性があることを示しました。 数兆ドル規模の企業は、ボランティアからの無料かつ緊急の支援を期待しています。」 そして彼らは領収書を持ってきて、Microsoft Teams に影響を与える「優先度の高い」バグにどのように対処したかを指摘しました。
Microsoft が自社のソフトウェアに依存しているにもかかわらず、開発者は次のように書いています。「Microsoft に長期メンテナンスのサポート契約を丁重に要求した後、代わりに数千ドルの一括支払いを提案しました…メンテナンスと持続可能性への投資は魅力的ではなく、おそらく中間管理職は昇進できませんが、長年にわたって何千倍もの利益をもたらします。」
「JiaT75」の背後に誰がいるのか、どのように計画を実行したのか、被害の範囲などの詳細が、ソーシャルメディアとオンラインフォーラムの両方で開発者とサイバーセキュリティ専門家の軍隊によって明らかにされつつある。 しかし、それは、安全なソフトウェアを使用できることで恩恵を受ける多くの企業や組織からの直接の財政的支援なしで実現します。
#あるボランティアが #Linux #システムを世界中に公開するバックドアをどのように阻止したか