サプライチェーン攻撃: 主要な Linux ディストリビューションが XZ Utils バックドアの影響を受ける

主要な Linux ディストリビューションは、バックドア版の XZ Utils データ圧縮ライブラリを含むサプライ チェーン攻撃の影響を受けています。

バックドアを発見したマイクロソフトのソフトウェアエンジニア、アンドレス・フロイント氏は、 説明する この悪意のあるコードは、2024 年 2 月にリリースされた XZ Utils バージョン 5.6.0 の tarball ダウンロード パッケージに導入されたということです。

バージョン 5.6.1 は、追加の難読化と一部の構成で発生するエラーの修正を含む、更新された悪意のあるコードを伴って間もなくリリースされました。

このコードは、スクリプトの最後で実行され、XZ Utils パッケージの一部である liblzma ライブラリを変更して、システムへの非認証アクセスを提供するように設計されています。 Red Hat は問題を次のように追跡しています CVE-2024-3094、CVSS スコアは 10/10 です。

「一連の複雑な難読化を通じて、liblzma ビルド プロセスは、ソース コード内に存在する偽装テスト ファイルから事前に構築されたオブジェクト ファイルを抽出します。これは、liblzma コード内の特定の関数を変更するために使用されます。 これにより、変更された liblzma ライブラリが作成され、このライブラリにリンクされている任意のソフトウェアで使用できるようになり、このライブラリとのデータ対話が傍受および変更されます」と Red Hat は説明します。

バックドアは systemd 経由で sshd の認証を妨害し、SSH プロトコル経由でシステムへのリモート アクセスを可能にするサービスを利用し、攻撃者が sshd 認証を破ってシステムにアクセスできるようにする可能性があります。

「攻撃者が進化し続け、設計上の脆弱性が常態化しつつある中、CVE-2024-3094-xz サプライ チェーン攻撃は、境界の安全を確保するためにさらなる危険信号を引き起こすだけです。」と Cyolo のセキュリティ研究責任者、Dor Dali 氏は述べています。 、 言った セキュリティウィーク。

「この脆弱性により重大なセキュリティリスクが露呈し、最終的には攻撃者が認証プロトコルを回避してシステム全体にリモートからアクセスできるようになる」とダリ氏は述べた。 「見つかった悪意のあるコードは、インターネットへの SSH の直接公開の回避や追加のセキュリティ対策の実装など、組織がベスト プラクティスに従うことがいかに重要であるかを示しています。」

現在までに攻撃による影響が確認されている Linux ディストリビューションには次のものがあります。 Fedora Rawhide および Fedora Linux 40 ベータ版 (ただし、Red Hat Enterprise Linux ではありません)、 openSUSE Tumbleweed および openSUSE MicroOS、 カリ・リナックス、 そして Arch Linux。

デビアン そして Ubuntu バックドアパッケージを含む安定リリースは存在しないと発表しました。 アマゾン・リナックス、 アルパイン・リナックス、 Gentoo Linux、 そして リナックスミント 影響を受けません。

ソフトウェア サプライ チェーン企業 Binarly は、無料のバックドア検出器をリリースしました。 XZ.失敗 これには、偽陽性がほぼゼロの一般的な IFUNC 移植検出が含まれます。 Binarly の検出は動作分析に基づいており、同様のバックドアが他の場所に埋め込まれた場合、不変条件を自動的に検出できます。

さらに、他のセキュリティ研究者は、 解放された ユーザーがシステムをスキャンして、悪意のあるライブラリを使用しているかどうかを判断できるようにするスクリプト。

.xz ファイルを圧縮/解凍するためのコマンド ライン ツールである XZ Utils は、さまざまな Linux ディストリビューションだけでなく、他のライブラリの依存関係としても使用されており、このサプライ チェーン攻撃は広範な影響を及ぼします。

「OpenSSH は現在、約 2,000 万の IP 上で実行されており、RDP (リモート デスクトップ プロトコル) のほぼ 10 倍普及しています。 もし誰かが広範囲に導入されたバックドアの導入に成功していたら、後々大変なことになっていただろう」とセキュリティ研究者のケビン・ボーモントは言う ノート。

バックドアは自分自身を隠すために、 多段ローダー、追加のファイルを介して更新を展開できるようにする機能もあり、元の XZ コードの変更はそのまま残ります。

バックドアは ジア・タンさんの紹介で、彼は昨年 XZ Utils のメンテナーになりました。 彼の GitHub アカウント JiaT75 は、他の圧縮関連ライブラリにも貢献していました。

2023 年後半にプロジェクトのセキュリティ保護を削減し、プロジェクトの URL を GitHub ページに更新した後、Jia Tan は 2024 年初頭に悪意のあるコードを含めるようにライブラリを変更しました。また、脅威アクターは Linux カーネル モジュールのメンテナになるよう要求しました。 XZエンベデッド用。

しかし、このプロジェクトの原作者であるラッセ・コリン氏によると、ジア・タン氏は アクセスしかなかった GitHub リポジトリには保存されますが、プロジェクトの Web サイト、Git リポジトリ、および関連ファイルには保存されません。 GitHub は Collin 氏と Tan 氏の両方のアカウントを停止しました。

「攻撃者は悪意のあるコードをパブリック リポジトリにコミットする必要がなかったことに注意することが重要です。 GitHub でホストされ、Linux ディストリビューションがパッケージを構築するために使用するリリース tarball を変更するだけで十分です。 コードのコミットは、tarball の変更の不審さを軽減するために行われた可能性があります」と Coinspect の CEO 兼創設者の Juliano Rizzo 氏は述べています。 ノート。

この悪意のあるコードは XZ Utils バージョン 5.6.0 および 5.6.1 に含まれていたため、影響を受けるパッケージを元に戻してライブラリの 5.4.x バージョンを使用すると、バックドアが排除されます。 XZ Utils 5.4.6 は、安定した、妥協のない最新のイテレーションです。

米国のサイバーセキュリティ機関CISA アドバイスした 開発者とユーザーは、XZ Utils をクリーン バージョンにダウングレードし、システムに悪意のあるアクティビティがないかチェックする必要があります。

関連している： 視聴: サプライ チェーンとサードパーティ リスク サミット 2024

関連している： マルウェア ハンターが 3CX デスクトップ アプリを攻撃するサプライ チェーン攻撃を発見

関連している： ソフトウェアサプライチェーン攻撃の「重大なエスカレーション」を研究者が警告