XZ Utilsへのバックドア混入:誰の仕業?影響を受けるディストロは?(CVE-2024-3094)
(情報源:HelpnetSecurity.com – March 31)
数多くのLinuxディストリビューションで利用される圧縮ユーティリティ「XZ Utils」の一部に、不正なリモートアクセスを可能にするための悪意あるコードが仕込まれていたことが、29日に発覚。CVE-2024-3094という識別子が割り当てられたこの問題について、これまでに以下のような内容が判明している。
脆弱性CVE-2024-3094の概要
CVE-2024-3094は、悪用によりsshd認証を破り、システム全体へ不正にリモートアクセスすることが可能になり得るものとされ、CVSSスコアは10.0。このソフトウェアサプライチェーンを脅かす問題は、XZ Utilsのバージョン5.6.0および5.6.1に影響を与えるものだという。
脆弱性発見の経緯
同脆弱性の発見者は、マイクロソフトのソフトウェアエンジニアであるAndres Freund氏。同氏はDebian sid(開発用の不安定版)でのテスト実施時、SSHログインになぜ大量のCPUパワーが使われ、なぜエラーがポップアップするのかを調べる中でXZパッケージを構成するデータ圧縮ライブラリ「liblzma」に問題があることを発見したという。テスト結果を基に同氏は「アップストリームのxzリポジトリとxz tarballsにバックドアが仕込まれている」と結論づけ、この問題をDebianやほかのLinuxディストリビーションに報告。その後Red HatやDebian、CISAが同問題に関してユーザーへ注意喚起し、メディアなどにも大きく取り上げられている。
<CVE-2024-3094の発見が、sshd遅延の理由を調べようとした結果の偶然によるものだったことを受け、バックドアによりこのような問題が引き起こされなかったとしたらどれほどの期間見過ごされていただろう、と危惧する内容のX投稿>
The xz package tar's were backdoored. Only discovered because the backdoor slowed down sshd enough for Andres Freund to investigate.
Consider the case where the backdoor didn't cause perf issues… How long would this have gone undetected?https://t.co/qO05dVP7vU
— Bad Sector Labs (@badsectorlabs) March 29, 2024
バックドア込みのXZパッケージによる影響を受けるLinuxディストリビューション
※主要なLinuxディストリビューションの安定版には当該XZパッケージは含まれていない
Red Hat
Fedora Rawhide(Fedora Linuxの現行開発バージョン)とFedora Linux 40のベータ版にxzライブラリの脆弱なバージョンが含まれていることを、Red Hatが認めている。Red Hat Enterprise Linux(RHEL)はいずれのバージョンも影響を受けない。
OpenSUSE
ローリングリリースのopenSUSE TumbleweedとopenSUSE MicroOSの3月7日〜28日の期間のものに脆弱なバージョンのxzが含まれていたと、OpenSUSEのメンテナが述べている。SUSE Linux Enterpriseおよび/またはLeapには悪意あるコードは存在しないとされる。
Debian
安定版はいずれのバージョンも影響を受けていないとされるものの、テスト用の不安定版、実験用ディストロの一部には侵害されたxzパッケージが含まれており、ユーザーはxz-utilsパッケージのアップデートを推奨されている。
Kali Linux
3月26日〜29日の間にアップデートを実施したユーザーが影響を受けると、OffSecが認めている。
Arch Linux
一部の仮想マシンイメージ(20240301.218094、20240315.221711)、コンテナイメージ(2024年2月24日〜2024年3月28日に作成されたもの)、およびinstallation medium(2024.03.01)に脆弱なXZバージョンが含まれる。
このほか、Linux Mint、Gentoo Linux、Amazon Linux、Alpine Linuxは影響を受けないとされる。また、自らのシステムがliblzmaライブラリのバックドア入りバージョンを使っているかチェックするためのスクリプトがGitHub上で共有されている。
バックドア混入は数年かけて信頼を獲得した開発者「Jia Tan」の仕業か
.xzファイルの圧縮・解凍用コマンドラインツールであるXZ UtilsはLasse Collin氏により作成され、今も主導者は同氏。しかしバックドアの混入は、「Jia Tan」(GitHubのユーザー名は「JiaT75」)によって行われたとされている。Jia Taは数年にわたりソックパペットアカウントを使ったり、ソーシャルエンジニアリングで信頼を構築したりしてXZ Utilsのメンテナとなり、バックドアの存在を隠すためにほかにもさまざまな細工を施したものとみられる。
今回のサプライチェーン攻撃の背後にいる脅威アクターの正体は今後も暴かれない可能性がある。ただ、「Jia Tanの名の下で協調的に行われた長期的な取り組みは、高度な脅威アクターのそれを指し示している」との見解が、サイバーセキュリティ業界やOSSコミュニティでは一般的だという。