1711739208
2024-03-29 18:50:34
拡大する / 目の形をした一連のバイナリ コードのインターネット バックドア。
ゲッティイメージズ
研究者らは、Red Hat や Debian などの広く使用されている Linux ディストリビューションに侵入する圧縮ツールに悪意のあるバックドアを発見しました。
として知られる圧縮ユーティリティ xzユーティリティ、バージョン 5.6.0 および 5.6.1 で悪意のあるコードが導入され、 によると それを発見した開発者、アンドレス・フロイント氏。 これらのバージョンが主要な Linux ディストリビューションの実稼働リリースに組み込まれているという確認された報告はありませんが、両方とも レッドハット そして デビアン 最近公開されたベータ リリースでは、バックドア バージョンの少なくとも 1 つが使用されていると報告しました。具体的には、Fedora 40、Fedora Rawhide、Debian のテスト、不安定版および実験版のディストリビューションです。
SSH認証を解除する
バックドアの最初の兆候は、難読化されたコードを追加した 2 月 23 日のアップデートで導入された、と Red Hat 関係者は電子メールで述べています。 翌日の更新では、そのコードの難読化を解除し、xz Utils 更新プロセス中にビルドされるコード ライブラリにコードを挿入する機能が導入されました。 悪意のあるコードは、上流でリリースされるアーカイブされたリリース (tarball と呼ばれる) にのみ存在します。 リポジトリで利用可能ないわゆる GIT コードは影響を受けませんが、ビルド時にインジェクションを可能にする第 2 段階のアーティファクトが含まれています。 2 月 23 日に導入された難読化されたコードが存在する場合、GIT バージョンのアーティファクトによりバックドアの動作が可能になります。
悪意のある変更は、プロジェクトに長年貢献してきた 2 人の主要な xz Utils 開発者の 1 人である JiaT75 によって提出されました。
広告
「数週間にわたる活動を考えると、コミッターが直接関与しているか、システムにかなり深刻な侵害があったかのどちらかだ」とディストリビュータOpenWallの関係者は記事で書いている。 勧告。 「残念ながら、最近のアップデートで提供された『修正』についてさまざまなリストでやり取りしていることを考えると、後者の説明は可能性が低いように思えます。」 これらのアップデートと修正は次のとおりです。 ここ、 ここ、 ここ、 そして ここ。
木曜日、開発者は Ubuntu の開発者サイトにアクセスし、バックドア付きバージョン 5.6.1 を使用するよう要請しました。 製品バージョンに組み込まれる。
xz Utils のメンテナーは質問メールにすぐには返答しなかった。
研究者らによると、この悪意のあるバージョンは、システムにリモート接続するために一般的に使用されるプロトコルである SSH によって実行される認証を意図的に妨害します。 SSH は強力な暗号化を提供し、許可された関係者だけがリモート システムに接続できるようにします。 バックドアは、悪意のある攻撃者が認証を突破し、そこからシステム全体に不正アクセスできるように設計されています。 バックドアは、ログイン プロセスの重要な段階でコードを挿入することで機能します。
「不正アクセスを許可するために、挿入されたコード内で何がチェックされているかをまだ正確に分析できていない」とフロイント氏は書いている。 「これは認証前のコンテキストで実行されているため、何らかの形式のアクセスまたは他の形式のリモート コード実行が許可される可能性があります。」
場合によっては、バックドアが意図したとおりに機能しないことがあります。 たとえば、Fedora 40 のビルド環境には、インジェクションが正しく行われない非互換性が含まれています。 Fedora 40 は、xz Utils の 5.4.x バージョンに戻りました。
Xz Utils は、すべてではないにしてもほとんどの Linux ディストリビューションで利用できますが、すべての Linux ディストリビューションにデフォルトで含まれているわけではありません。 Linux を使用している人は、直ちにディストリビュータに問い合わせて、システムが影響を受けるかどうかを確認する必要があります。 Freund は、SSH システムに脆弱性があるかどうかを検出するためのスクリプトを提供しました。
#広く使用されている #Linux #ユーティリティで見つかったバックドアにより暗号化された #SSH #接続が破壊される