XZ Utils の脆弱性 CVE-2024-3094 とバックドア:検出のためのツール/スクリプト/ルールが公開

XZ Utils backdoor: Detection tools, scripts, rules

2024/04/08 HelpNetSecurity — XZ Utils のバックドアに関する分析が続く中で、Linux システム上のバックドアの存在を検出するためのツールやアドバイスが、複数のセキュリティ企業から提供され始めた。先日に判明したのは、オープンソースの XZ Utils 圧縮ユーティリティに対して、バックドア CVE-2024-3094 が、熟練した脅威アクターにより注入されていたことである。脅威アクターたちの狙いは、主要 Linux ディストリビューションに悪意のパッケージを埋め込むことで、世界中の Linux システムに対する SSH ステルス・アクセスを、無制限に獲得することにある。

何が起こったのか?

このバックドアについて、Open Source Security Foundation は、「作者である脅威アクターは、このパッケージ・ビルドを、各 Linux ディストリが使用することを前提に、ディストリ tarball 内のバックドアを意図的に難読化した。XZ ビルド・システムが、”gcc” および “gnu” リンカーを使用して、x86-64 アーキテクチャ用の RPM または DEB を作成するように指示されると、このバックドアがビルド・プロセスの一部として liblzma に組み込まれる。 そして、このバックドアは、RPM または DEB 内のバイナリの一部として出荷される」と説明している。

このバックドアは、Microsoft のソフトウェア・エンジニアである Andres Freund により発見され、3月29日には Red Hat が、その存在を公にした。いくつかの Linux ディストリの安定版が影響を受けているが、広範な侵害は回避されている。

脅威研究者たちは、現在もバックドアの分析に取り組んでおり、日々その分析結果を公開している。

このバックドアの注入は、以下のような多くのトリックを使った、巧妙な脅威アクターの仕業であることが判明した:

  • バックドアを見つけ難くする。
  • 通常のオープンソース開発プロセスに溶け込ませる。
  • オープンソースのエコシステムで、信頼される人物になる (彼らは、他のプロジェクトでもコミットしていた) 。
XZ Utils のバックドアを検出するには

このバックドアを、攻撃者が起動/使用するためには、所有するプライベート SSH キーによる認証が必要となる。幸いなことに、脆弱性のあるライブラリのバージョンは、多くの実稼働システムに導入されていない。

その一方で、このバックドアの存在を、ユーザーがチェックするためのスクリプトやツールが、数多くリリースされている。

Freund の OSS メーリング・リストへの投稿には、「システム上の脆弱な SSH バイナリを検出する、スクリプトが含まれている。このスクリプトは改良され、システムが liblzma ライブラリのバックドア・バージョンを使用している場合に、それを検出するよう拡張されている」と記されている。

ファームウェア・セキュリティ企業である Binarly は、バックドア・インプラントのバイナリ分析を、ユーザーに提供するオンライン・スキャナーを立ち上げた。Binarly は、「このような、専門的に設計された複雑で包括的な移植フレームワークは、一回限りの悪意のオペレーションのために開発されたものではない。すでに他のユーティリティにも注入されている可能性もあれば、他のオペレーションで部分的に再利用されている可能性もある。そのため、我々は、この複雑なバックドアの汎用的な検知に注力し始めた」と述べている。

また、Bitdefender も、4月5日に別のスキャナーをリリースしている。このスキャナーを有効化するには、root 権限が必要なため、同社はソースコードを公開している。このスキャナーは、たとえ Secure Shell Daemon アプリケーション (sshd) で使用されていなくても、感染した全ての liblzma ライブラリを検索できる。さらに、ライブラリのコンパイル時にバックドアにより注入された、一意のバイト・シーケンスも検索できる。

Elastic Security Labs の研究者たちも、バックドア分析のためのツールを発表した。Linux 管理者たちが、脆弱な liblzma ライブラリを見つけ出し、疑わしい sshd 動作を特定するために使用できる、YARA シグネチャ/検出ルール/osquery クエリなどが含まれるという。

先日の記事でも、このスキャナーの件について、簡単に触れられていました。今日の記事は、その詳細を解説するものとなっています。よろしければ、以下の記事も、ご参照ください。

04/02:XZ Utils の脆弱性:バックドア検出の無料スキャナーを提供
04/02:XZ Utils に仕込まれた悪意のコード:RCE を引き起こす?
04/01:XZ Utils に注入のバックドア:主要の Linux ディストリに影響
03/29:XZ Utils の脆弱性:Fedora でバックドアが発見