知って得するセキュリティのはなし その252
圧縮ツール「XZ Utils」に不正なコード埋め込み、サーバーにバックドアの恐れ
1.このニュースをざっくり言うと
- 3月29日(現地時間)、圧縮ツール「XZ Utils」の開発元より、XZ Utilsに悪意のあるコードが仕込まれた状態でリリースされていたと発表されました。
- 問題が確認されたのはXZ Utilsバージョン5.6.0/5.6.1で、これらのバージョンがインストールされていた場合、サーバーのsshdにバックドアが仕掛けられ、外部から不正に侵入される恐れがあるとされています。
- この問題は脆弱性「CVE-2024-3094」として扱われ、JPCERT/CC等各セキュリティ団体、XZ Utilsが主に使用されるLinuxの各ディストリビューションおよびmacOSのHomebrewプロジェクト等で注意喚起が出されています。
2.執筆者からの所感等
- 主なLinuxディストリビューション(RHEL派生のCentOS 7・Rocky Linux・Almalinux、あるいはDebian・Ubuntu、等)の安定版で提供されるXZ Utilsのパッケージは、不正なコードが仕込まれる前のバージョン(5.4.5以前)を使用しており、影響を受けないとのことです。
- ただし、前述したディストリビューションでも開発版(Fedora・Rawhide、あるいはDebian testing・unstable)の場合には、一時的にバージョン5.6.0/5.6.1が入り、不正なコードの影響を受ける可能性があったとされています(現在は前のバージョンにダウングレードする等の対策が行われています)。
- XZ Utilsの開発に2021年から参加した開発者の一人が、テスト用ファイルに偽装する等して悪意のあるコードを巧妙に仕掛けた「サプライチェーン攻撃」の一種とされており、Microsoftに在籍する開発者がサーバーで発生した不審な挙動等からたまたま問題を発見したとのことです。
- 発見が遅れていたら、安定版においても問題のあるバージョンが採用されていた恐れがあったとされており、不正なコードがOS上にどんな影響を及ぼしていたかについて今後も分析が進められること等が考えられ、引き続き動向が注目されるところです。