RedHatは、人気のあるデータ圧縮ライブラリであるXZ Utils(以前のLZMA Utils)の2つのバージョンが、不正なリモートアクセスを許可する悪意のあるコードでバックドアされていると警告する「緊急のセキュリティアラート」を発表した。このソフトウェアサプライチェーンの妥協はCVE-2024-3094として追跡され、CVSSスコアは最大の重大度を示す10.0である。影響を受けるXZ Utilsのバージョンは、2月24日にリリースされた5.6.0と、3月9日にリリースされた5.6.1である。
IBMの子会社であるRedHatによると、liblzmaのビルドプロセスは、ソースコード内に存在する偽装されたテストファイルから事前にビルドされたオブジェクトファイルを抽出し、liblzmaコード内の特定の関数を変更することで、このライブラリにリンクされた任意のソフトウェアによって使用される変更されたliblzmaライブラリを生成する。具体的には、この悪意のあるコードは、SSH(Secure Shell)のsshdデーモンプロセスをsystemdソフトウェアスイートを介して妨害し、特定の状況下で脅威アクターがsshd認証を破り、システムにリモートで不正にアクセスすることを可能にするように設計されている。
この問題を発見し報告したのは、Microsoftのセキュリティ研究者Andres Freundである。悪意のあるコードは、GitHub上のTukaani ProjectにJiaT75というユーザー名で4回のコミットを通じて導入されたとされる。GitHubは、GitHubの利用規約に違反したとして、Tukaani Projectによって維持されていたXZ Utilsのリポジトリを無効にした。
現在、野生での積極的な悪用の報告はない。パッケージはFedora 41とFedora Rawhideにのみ存在し、Red Hat Enterprise Linux (RHEL)、Debian Stable、Amazon Linux、SUSE Linux EnterpriseおよびLeapには影響しない。供給チェーン攻撃の影響を受ける他のLinuxディストリビューションには、Kali Linux(3月26日から29日の間)、openSUSE TumbleweedおよびopenSUSE MicroOS(3月7日から28日の間)、Debianのtesting、unstable、experimentalバージョン(5.5.1alpha-0.1から5.6.1-1まで)が含まれる。この発展を受けて、米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)も独自の警告を発し、ユーザーにXZ Utilsを危害を受けていないバージョン(例えば、XZ Utils 5.4.6 Stable)にダウングレードするよう促している。
【関連記事】
Rustのliblzma-sysに潜むバックドア、21,000回以上のダウンロード後に発覚
大手テック企業とApex Programがもたらすセキュリティパラダイムシフト
ソフトウェア供給チェーン攻撃の警鐘、XZ Utils事件が示す脆弱性とその対策
オープンソースソフトウェアのセキュリティ警鐘:XZ Utilsにバックドア発見
オープンソースソフトウェアに潜む危険:Microsoftが発見したバックドア
Linux圧縮ツールXZにバックドア発見、複数ディストリビューションが危機に
サイバーセキュリティ最前線:グローバル協力から新たな脅威まで
警告:LinuxとMacOSに影響、XZ Utilsにバックドア発見!
【ニュース解説】
Linuxの世界で広く使用されているデータ圧縮ライブラリ「XZ Utils」の2つのバージョンに、リモートから不正アクセスを許可する悪意のあるコードが組み込まれていることが発覚しました。この問題は、ソフトウェアサプライチェーンの妥協として識別され、CVE-2024-3094として追跡されています。この脆弱性は、最も深刻なレベルを示すCVSSスコア10.0を受けています。
この問題の根本には、liblzmaライブラリのビルドプロセス中に、ソースコード内の偽装されたテストファイルから事前にビルドされたオブジェクトファイルを抽出し、liblzmaコード内の特定の関数を変更するという複雑な操作があります。これにより、このライブラリにリンクされた任意のソフトウェアが、変更されたliblzmaライブラリを使用することになり、データのやり取りを妨害される可能性があります。特に、SSH(Secure Shell)のsshdデーモンプロセスが標的とされ、特定の条件下でシステムへの不正アクセスが可能になる恐れがあります。
この脆弱性の発見者は、Microsoftのセキュリティ研究者であるAndres Freund氏です。悪意のあるコードは、GitHub上のTukaani Projectにおいて、JiaT75というユーザー名で行われた4回のコミットを通じて導入されたとされています。この事実は、ソフトウェアの開発プロセスにおけるセキュリティの重要性を改めて浮き彫りにしています。
この問題の影響を受けるLinuxディストリビューションは複数ありますが、Red Hat Enterprise Linux (RHEL)、Debian Stable、Amazon Linux、SUSE Linux EnterpriseおよびLeapは影響を受けていないとのことです。しかし、Fedora 41、Fedora Rawhide、Kali Linux、openSUSE Tumbleweed、openSUSE MicroOS、Debianのtesting、unstable、experimentalバージョンなどが影響を受ける可能性があります。
このようなサプライチェーン攻撃は、ソフトウェアの信頼性とセキュリティに対する深刻な脅威をもたらします。開発者や組織は、使用するライブラリや依存関係の安全性を常に確認し、セキュリティアップデートを迅速に適用することが重要です。また、この事件は、オープンソースプロジェクトの管理とセキュリティ対策の強化の必要性を示しています。長期的には、ソフトウェア開発と配布のプロセス全体におけるセキュリティの向上が求められます。
from Urgent: Secret Backdoor Found in XZ Utils Library, Impacts Major Linux Distros.
【編集部追記】 2024/04/04 13:25
xzの脆弱性(CVE-2024-3094)の技術的詳細
- 悪意のあるコードは、xz_dec_lzma2()関数内のlzma_lzma_main()呼び出しの直前に挿入された。
- バックドアは、環境変数GCONV_PATHが特定のパターンに一致する場合に有効化される。
- 有効化されると、sshd経由で任意のコマンドをrootとして実行可能になる。
- 影響を受けるバージョンのソースコードと、悪意のあるコミットの差分は以下で確認できる。
https://github.com/tukaani-project/xz/compare/v5.5.0…v5.6.1
対策と推奨事項
- 影響を受けるバージョンを使用中の場合:
- 5.5.0以前のバージョンにダウングレード
- または各ディストリビューションが提供するパッチの適用。
- ソースコードからビルドしている場合は、再ビルドが必要。
- 今後はxzに限らず、依存ライブラリのアップデート時には変更内容の確認を。
