Supply Chain Attack: Major Linux Distributions Impacted by XZ Utils Backdoor
2024/04/01 SecurityWeek — データ圧縮ライブラリである XZ Utils のバックドア付きバージョンにより、主要な Linux ディストリビューションがサプライチェーン攻撃の影響を受けている。このバックドアは、Microsoft の Software Engineer である Andres Freund により発見されたものである。彼によると、2024年2月にリリースされた XZ Utils 5.6.0 の tarball ダウンロード・パッケージに、悪意のコードが混入していたという。その直後にリリースされたバージョン 5.6.1 では、難読化の追加や一部の設定で発生するエラーの修正など、悪意のコードが更新されていた。
このコードは、configure の最後で実行され、XZ Utils パッケージの一部である liblzma ライブラリを変更し、認証されていないシステム・アクセスを提供するよう設計されていた。Red Hat は、この脆弱性を CVE-2024-3094 として追跡しており、CVSS スコアは最高値の 10.0 として評価している。
Red Hat は、「一連の複雑な難読化を通して、liblzma のビルド・プロセスは、ソースコードに存在する偽装されたテスト・ファイルから、ビルド前のオブジェクト・ファイルを抽出し、それを使用して liblzma コード内の特定の関数を変更する。この結果として、修正された liblzma ライブラリが出来上がり、このライブラリに対してリンクされた、あらゆるソフトウェアに侵害が到達し、このライブラリとのデータのやり取りが傍受され、その修正も可能になる」と説明している。
このバックドアを利用する攻撃者は、systemd 経由で sshd の認証を妨害し、SSH プロトコルでシステムへのリモート・アクセス可能なサービスに侵入し、sshd の認証を破ってシステムにアクセスできるようになる。
Cyolo の Head of Security Research である Dor Dali は、「攻撃者が進化を続けることで、この脆弱性は設計どおりに機能し、CVE-2024-3094 xz サプライチェーン攻撃により、境界の安全性が脅かされている。この脆弱性は、攻撃者に認証プロトコルの回避を提供し、システム全体へのリモート・アクセスの能力を与えるという、重大なセキュリティ・リスクを露呈している。発見された悪質なコードが示すのは、ユーザー組織におけるセキュリティ対策の重要性であり、具体的に言うと、ベストプラクティスに従い、SSH がインターネットに露出することを避けることである」と、SecurityWeek に対して語っている。
現在までに、この攻撃による影響が確認されている Linux ディストリビューションは、Fedora Rawhide/Fedora Linux 40 beta (ただし Red Hat Enterprise Linux は除く)/openSUSE Tumbleweed/openSUSE MicroOS/Kali Linux/Arch Linux となっている。
Debian と Ubuntuは、stable 版においては、バックドアされたパッケージが含まれていないと発表している、また、Amazon Linux/Alpine Linux/Gentoo Linux/Linux Mint は影響を受けていないという。
セキュリティ研究者たちが公開したものには、ユーザーが自分のシステムをスキャンして、悪意のライブラリを使用しているかどうかを判断するスクリプトもある。
XZ Utils は、”.xz” ファイルを圧縮/解凍するコマンドライン・ツールであり、様々な Linux ディストリビューションで使用されている。それに加えて、他のライブラリとの依存関係としても使用されており、このサプライチェーン攻撃は、広い意味を持っている。
セキュリティ研究者の Kevin Beaumont は、「OpenSSH は、現時点で 2000 万近い IP 上で動作しており、RDP (Remote Desktop Protocol) の 10 倍近く普及している。もし誰かが、広く配備されたバックドアの導入に成功していたら、今後が大変なことになっていただろう」と指摘している。
このバックドアは、自身を隠すために、多段階ローダーとアップデートを追加ファイル経由で展開する機能を使い、また、悪意の XZ コードの変更が、そのまま残るように設計されている。
このバックドアは、2023年に XZ Utils のメンテナになった、Jia Tan により導入された。彼の GitHub アカウントである JiaT75 は、他の圧縮関連ライブラリにも貢献していた。
Jia Tan は、2023年後半にプロジェクトのセキュリティ保護を減らし、プロジェクトの URL を GitHub のページに更新した後の 2024年初頭に、悪質なコードを含むようにライブラリを修正した。さらに彼は、XZ Embedded の Linux カーネル・モジュール・メンテナになりたいと要求していた。
しかし、プロジェクトの開発者である Lasse Collin によると、Jia Tan は GitHub リポジトリへのアクセスを持つだけであり、プロジェクトの Web サイト/Git リポジトリ/関連ファイルなどにはアクセスできなかったという。GitHub は、Collin と Tan のアカウントを停止している。
Coinspect の CEO/創設者である Juliano Rizzo は、「この攻撃者は、悪意のコードを公開リポジトリにコミットする必要はなかった。GitHub でホストされ、Linux distros がパッケージのビルドに使用するリリースの、tarball を変更すれば十分だった。コードをコミットしたのは、tarball の変更が不審に思われないための、配慮だった可能性が高い」と指摘している。
悪質なコードが含まれていたバージョンは、XZ Utils の 5.6.0/5.6.1 であるため、影響を受けるパッケージを使用している場合には、このライブラリの 5.4.x バージョンに戻せば、バックドアは消える。また、XZ Utils 5.4.6 は、最新の stable 版であり、侵害されていない。
米国のサイバーセキュリティ機関である CISA は、XZ Utils をクリーンなバージョンにダウングレードし、システム上で悪意の活動をチェックするよう、開発者やユーザーに警告している。
XZ Utils の脆弱性 CVE-2024-3094 に関する記事としては、2024/03/29 の「XZ Utils の脆弱性 CVE-2024-3094:Fedora でバックドアが発見された – Red Hat 警告」に続く、第二報となります。前回の記事と重複する情報もありますが、状況が明らかになってきたと感じられます。まだまだ、続報がありそうな気配です。
IoT OT Security News 
You must be logged in to post a comment.