Binarly Released The Free Online Scanner To Detect The Cve-2024-3094 Backdoor
2024/04/02 SecurityAffairs — 3月29日に Microsoft のエンジニアである Andres Freund が明らかにしたのは、xz ツールとライブラリの最新バージョンにバックドアが存在するという現実である。この脆弱性は、CVE-2024-3094 (CVSS:10.0) として追跡されている。Red Hat は、Fedora の開発版/実験版が稼働しているシステムを直ちに使用中止するよう、ユーザーに呼びかけている。XZ は、一般的なデータ圧縮フォーマットであり、Linux ディストリビューションにおける、コミュニティ主導型と商用型の大半に実装されている。
研究者が発見した悪意のコードは隠蔽されており、ダウンロード・パッケージにのみ存在する仕組みになっている。Git ディストリビューションには、悪意のコードのトリガーに必要な M4 マクロが存在しないため、この悪意のコードは含まれていない。
悪意のビルドは、systemd を介した sshd の認証を妨害する。攻撃者は、特定の条件下において sshd の認証を侵害し、システム全体への不正なリモート・アクセスを可能にしている。
CISA もアドバイザリを発表しており、脆弱性が存在しない XZ バージョンである 5.4.6 Stable へのダウングレードを推奨し、また、悪意のコードを探し出すよう警告している。
この脅威を軽減するための、無料のスキャン・ツールが、Binarly から提供されている。同社は、このツールで使用されている検出方法は、誤検出率がゼロに近いと述べている。
他の専門家たちが開発したツールの大半は、バックドア検出のためのアプローチにおいて、誤検知を引き起こしやすいと、Binarly は指摘している。その理由としては、単純なバージョン・チェックや、バックドア化されたコンポーネントのハッシュベースの検出、そして、ハードコードされた一意の文字列定数の YARA ルールへの注目にあると、同社は述べている。
Binarly のアドバイザリには、「このような、埋め込まれた悪意を検出するために、バイナリ・インテリジェンス技術における、ifunc トランジション動作解析に焦点を当てることにした。この検知方法は、完全に静的解析に基づいており、制御フロー・グラフの遷移の改ざんを検知する。このような検出方法により、悪意の ifunc リゾルバを埋め込む際に、制御フローが改ざんされる可能性が明らかにされる。この技術は汎用的に機能し、他のソフトウェア・サプライチェーン攻撃における、ペイロードの不変性や再利用を検出することもできるだろう」と詳述されている。
XZ Backdoor Scanner は、XZ.fail から無料で入手できる。このツールにバイナリ・ファイルをアップロードすることで、バックドア注入の有無をチェックできる。
Follow me on Twitter: @securityaffairs and Facebook and Mastodon
XZ Utils の脆弱性 CVE-2024-3094 に関する記事としては、これで4本目となります。今日の記事は、スキャナーに関する解説となります。よろしければ、以下の記事も、ご参照ください。
04/02:XZ Utils に仕込まれた悪意のコード:RCE を引き起こす?
04/01:XZ Utils に注入のバックドア:主要の Linux ディストリに影響
03/29:XZ Utils の脆弱性:Fedora でバックドアが発見
IoT OT Security News 
You must be logged in to post a comment.