Linux向けとして世界中で広く使われているオープンソース圧縮ツール「XZ Utlils」に悪意のあるバックドアが仕込まれていることが判明した。もし発見されていなかったら、Linux に重大な脅威をもたらしていた可能性がある。
この報告は、MicrosoftのPostgreSQL 製品の開発者であるAndres Freund氏によってもたらされたが、同氏によると、XZ Utlisのバージョン5.6.0と5.6.1で悪意のあるコードが導入されていることが確認されたとのことだ。
この危険なバージョンのXZ Utilsが主要なLinuxディストリビューションの製品リリースに組み込まれたとの報告はまだないが、Red HatとDebianの両社は、最近公開されたFedora RawhideとDebianのテスト版、不安定版、実験版ディストリビューションでバックドアの仕込まれたXZ Utilsの少なくとも1つが使用されていることを報告している。
XZ Utilsとは何か?
Linux を含む事実上すべての Unix 系オペレーティング システムで「LZMA」アルゴリズムを用いたデータ圧縮形式「xz」を扱うツールだ。 XZ Utils は、あらゆる種類の操作中にデータを圧縮および解凍するための重要な機能を提供している。 XZ Utilsは従来の .lzma 形式もサポートしているため、その重要度は極めて高い。
発端は?
開発者兼エンジニアであるAndres Freund氏は、、マイクロベンチマークを定期的に行っていたところ、sshプロセスで600ミリ秒の遅延が発生していることに気づいた。具体的には、SSHログインがあまりにも多くのCPUサイクルを消費しており、コンピュータのメモリを監視するユーティリティであるvalgrindでエラーが発生していた事を発見した。
原因を突き詰めた結果、Freund氏は最終的にこの問題がXZ Utilsのアップデートによるものであることを突き止めた。Freund氏はオープン・ソース・セキュリティ・リストで、このアップデートが何者かが意図的に圧縮ソフトウェアにバックドアを仕込んだ結果であることを公表した。
どんな被害が考えられるのか?
XZ Utilsのバージョン5.6.0と5.6.1に追加された悪意のあるコードは、XZ utilsパッケージの一部であり、いくつかの主要なLinuxディストリビューションの基盤部分であるデータ圧縮ライブラリであるliblzma内の関数を変更している。この修正されたコードは、XZライブラリーにリンクされたソフトウェアで使用され、ライブラリーで使用されるデータの傍受と修正を可能にする。このコードによって、あらかじめ決められた暗号化キーを所持している人物が、SSH経由でバックドア・システムにログインできるようになり、それ以降、その人物は権限のある管理者と同じレベルのコントロールができるようになるという危険性をはらんでいるのだ。
被害の範囲は?
Fedora 41 と Fedora Rawhide に脆弱性が見られることをRed Hatは報告し、アップデートが提供されるまで使用を中止するようユーザに勧告しているが、Red Hat Enterprise Linux (RHEL) は影響を受けていない。SUSE は openSUSE (Tumbleweed または MicroOS) のアップデートをリリースした。Debian Linux の安定版は安全だが、テスト版、不安定版、実験版では、危険なパッケージがあるため、XZ Utils のアップデートが必要だ。3月26日から3月29日の間にアップデートを行ったKali Linuxユーザーは、修正のために再度アップデートを行う必要があるが、3月26日以前にアップデートを行ったユーザーは、この脆弱性の影響を受けない。
なぜバックドアが仕込まれたのか?
このバックドアは何年もかけて作られたようだ。2021年に初めてこのオープンソースプロジェクトにコミットした「JiaT575」というユーザー名の人物が今回の事態を引き起こしたとされている。2023年1月初めにマネージャー権限が付与され、2024年2月23日のアップデートで危険なコードを仕込んだようだ。JiaT575は長い時間をかけ、XZの開発者の信頼を徐々に獲得し、巧妙に悪意のあるコードを注入したのだ。
幸いなことに、現状ではこうした悪意のあるツールが主要なLinuxディストリビューションの製品リリースに組み込まれた事実は確認されていないが、セキュリティ企業Analygenceのシニア脆弱性アナリストであるWill Dormann,氏は、今回の発見は危機一髪だったとArs Technicaに語った。「もし発見されていなかったら、世界にとって大惨事になっていたでしょう」。
Source
コメント