Last Updated on 2024-04-16 16:26 by TaTsu
XZ UtilsはLinuxディストリビューションに広く使用されるデータ圧縮ユーティリティで、新たに発見されたバックドアによりセキュアシェルの認証を回避し、システムへの完全なアクセスが可能になることが判明した。このバックドアはliblzmaライブラリに埋め込まれており、メンテナーレベルのアクセス権を持つ個人による長期にわたる攻撃の可能性がある。影響を受けるのはFedora、Debian、Kali、openSUSE、Arch Linuxの不安定なベータリリースで使用されているXZ Utils 5.6.0および5.6.1である。
対応策として、Fedora、Debian、openSUSE、Kali、Archのセキュリティチームは影響を受けるLinuxディストリビューションを実行している組織に対し、安定したリリースの以前のバージョンに戻すよう警告している。Red Hatはこのバックドアに脆弱性識別子CVE-2024-3094を割り当て、CVSSスコア10の最大深刻度のリスクと評価した。米国サイバーセキュリティ・インフラストラクチャ庁(CISA)も同様の呼びかけを行い、Binarlyは組織がバックドア付きのXZを検出するための無料ツールをリリースした。
バックドアの埋め込みは、XZ Utilsのメンテナーのアカウントを使用した個人によって行われ、Jia Tanという名前を使用した個人がGitHubアカウントを作成し、オープンソースプロジェクトに怪しい変更を行い始めた。この行動は長期にわたる計画的な操作の一環と見られている。GitHubは後にJia Tanのアカウントを停止した。
XZ Utilsのバックドアの存在は、ソフトウェア供給チェーンを介した攻撃に対する組織の脆弱性を浮き彫りにし、信頼され広く使用されているオープンソースコンポーネントにバックドアが紛れ込む可能性があることを示した。ソフトウェア供給チェーン攻撃は、社会的な操作や信頼の構築などの手法を使用して行われることがあり、組織はこのような攻撃に対して警戒する必要がある。
【関連記事】
Rustのliblzma-sysに潜むバックドア、21,000回以上のダウンロード後に発覚
大手テック企業とApex Programがもたらすセキュリティパラダイムシフト
ソフトウェア供給チェーン攻撃の警鐘、XZ Utils事件が示す脆弱性とその対策
オープンソースソフトウェアのセキュリティ警鐘:XZ Utilsにバックドア発見
オープンソースソフトウェアに潜む危険:Microsoftが発見したバックドア
サイバーセキュリティ最前線:グローバル協力から新たな脅威まで
緊急警告: XZ Utilsにバックドア、最大CVSSスコア10.0の脆弱性発覚
警告:LinuxとMacOSに影響、XZ Utilsにバックドア発見!
【ニュース解説】
Linuxディストリビューションに広く使用されるデータ圧縮ユーティリティであるXZ Utilsに、新たに発見されたバックドアが埋め込まれていることが判明しました。このバックドアは、セキュアシェル(SSH)の認証を回避し、攻撃者がシステムに完全にアクセスできるようにするものです。特に影響を受けるのは、Fedora、Debian、Kali、openSUSE、Arch Linuxの不安定なベータリリースで使用されているXZ Utilsのバージョン5.6.0および5.6.1です。
このバックドアは、liblzmaライブラリに埋め込まれており、メンテナーレベルのアクセス権を持つ個人によって、長期にわたる計画的な攻撃の一環として導入された可能性があります。この事実は、ソフトウェア供給チェーンを介した攻撃に対する組織の脆弱性を浮き彫りにし、信頼され広く使用されているオープンソースコンポーネントにバックドアが紛れ込む可能性があることを示しています。
対応策として、影響を受けるLinuxディストリビューションを実行している組織には、安定したリリースの以前のバージョンに戻すよう警告が出されています。Red Hatはこのバックドアに脆弱性識別子CVE-2024-3094を割り当て、最大深刻度のリスクとして評価しました。また、米国サイバーセキュリティ・インフラストラクチャ庁(CISA)も、影響を受けるLinuxディストリビューションを使用している組織に対し、早急に対策を講じるよう呼びかけています。
この事件は、ソフトウェア供給チェーン攻撃がいかに巧妙で、長期にわたる社会的操作や信頼の構築を通じて行われる可能性があるかを示しています。組織は、このような攻撃に対して警戒し、ソフトウェアの更新やパッチの適用を迅速に行うこと、ソースコードのレビューを徹底すること、そして信頼できるソースからのみソフトウェアを入手することが重要です。
また、この事件はオープンソースコミュニティにとっても重要な警鐘となります。多くのオープンソースプロジェクトは、ボランティアによって運営されており、メンテナンスやセキュリティ対策に限られたリソースしか割り当てられていないことがあります。このような状況は、攻撃者にとって悪用しやすい環境を提供する可能性があります。したがって、オープンソースプロジェクトのセキュリティ対策を強化し、コミュニティ全体での協力とサポートを促進することが、今後ますます重要になってくるでしょう。
from XZ Utils Backdoor Implanted in Carefully Executed, Multiyear Supply Chain Attack.
“Linux圧縮ツールXZにバックドア発見、複数ディストリビューションが危機に” への1件のコメント
このニュースは、オープンソースソフトウェアのセキュリティ問題について、本当に心配させられますね。私たちが普段何気なく使っているソフトウェアが、実は長期間にわたって悪意のある攻撃の対象になっていたなんて、考えただけで不安になります。特に、Linuxディストリビューションのように、世界中で広く使われているシステムが攻撃されると、その影響は計り知れません。
でも、この事件は、ソフトウェアをダウンロードする時に、信頼できるソースから入手することの重要性を改めて教えてくれます。InstagramやTikTokのようなSNSを使う時も、セキュリティには気を付けていますが、パソコンやスマホのアプリに関しては、もっと注意深くならなければいけないと感じました。
オープンソースコミュニティが、このような攻撃に対してどう対処していくかも注目しています。コミュニティ全体での協力とサポートが強化されることで、こうした問題により効果的に対処できるようになるといいですね。それに、私たちユーザーも、セキュリティ対策についてもっと学んで、自分たちのデジタル環境を守ることが大切だと思います。