Last Updated on 2024-04-16 16:35 by admin
Phylumが新たに発見したところによると、Rustのクレートであるliblzma-sysがXZ Utilsのバックドアファイルを含む「テストファイル」によって侵害された。liblzma-sysは、これまでに21,000回以上ダウンロードされ、Rust開発者にXZ Utilsデータ圧縮ソフトウェアの一部であるliblzma実装へのバインディングを提供している。問題のバージョンは0.3.2である。
Phylumは、GitHubでの問題提起において、「現在の配布版(v0.3.2)には、バックドアを含むXZのテストファイルが含まれている」と指摘した。これらのテストファイルは、GitHub上の.tar.gzや.zipタグには含まれておらず、Crates.ioからインストールされるliblzma-sys_0.3.2.crateにのみ存在する。
責任を持って開示された後、問題のファイルはliblzma-sysバージョン0.3.3から削除され、以前のバージョンのクレートはレジストリから削除された。Snykによると、悪意のあるテストファイルは上流でコミットされたが、悪意のあるビルド指示が上流リポジトリに存在しなかったため、実行されることはなかった。
バックドアは、MicrosoftのエンジニアAndres Freundが2024年2月と3月にリリースされたバージョン5.6.0と5.6.1に影響を与える悪意のあるコミットを特定した際に発見された。このバックドアは、SSH内の認証コントロールを迂回してコードを遠隔実行することを可能にし、システムの乗っ取りを可能にする。
SentinelOneの研究者によると、この全体的な侵害は2年以上にわたっていた。Kasperskyによると、トロイの木馬化された変更は、複数段階の操作を形成し、最終的にLinuxリポジトリに出荷される正当なライブラリとリンクされた悪意のあるバイナリコンポーネントを抽出する。
このバックドアは、Secure Shell Daemon(sshd)を操作し、SSHセッションの開始時に攻撃者が送信するコマンドを監視することで、遠隔コード実行を実現する方法を導入することを主な目的としている。このバックドアの早期発見により、Linuxエコシステムの広範な侵害が回避されたが、この開発は、ソフトウェアサプライチェーン攻撃を仕掛ける目的で、オープンソースパッケージのメンテナーがソーシャルエンジニアリングキャンペーンの標的にされていることを再び示している。
ReversingLabsは、「オープンソースコードへの貢献と関連する圧力キャンペーンの急増は、偽の開発者アカウントを使用した調整されたソーシャルエンジニアリングキャンペーンが、広く使用されているオープンソースプロジェクトに悪意のあるコードを忍び込ませるために使用されたことを示唆している」と述べた。XZ Utilsに関連するソースコードリポジトリは、2024年4月9日にGitHub上で復元され、同社の利用規約違反で無効化されてからほぼ2週間後のことだった。
【関連記事】
大手テック企業とApex Programがもたらすセキュリティパラダイムシフト
ソフトウェア供給チェーン攻撃の警鐘、XZ Utils事件が示す脆弱性とその対策
オープンソースソフトウェアのセキュリティ警鐘:XZ Utilsにバックドア発見
オープンソースソフトウェアに潜む危険:Microsoftが発見したバックドア
Linux圧縮ツールXZにバックドア発見、複数ディストリビューションが危機に
サイバーセキュリティ最前線:グローバル協力から新たな脅威まで
緊急警告: XZ Utilsにバックドア、最大CVSSスコア10.0の脆弱性発覚
警告:LinuxとMacOSに影響、XZ Utilsにバックドア発見!
【参考サイト】
The Rust community’s crate registry(Rustコミュニティのクレートレジストリ)(外部)
【ニュース解説】
Rust言語で開発されたライブラリの一つであるliblzma-sysが、XZ Utilsのバックドアファイルを含む「テストファイル」によって侵害されたことがPhylumによって発見されました。このライブラリは、データ圧縮ソフトウェアXZ Utilsの一部であるliblzma実装へのバインディングを提供し、これまでに21,000回以上ダウンロードされています。問題となったバージョンは0.3.2で、このバージョンに含まれていたテストファイルにはバックドアが含まれていましたが、責任ある開示の後、問題のファイルは削除され、以前のバージョンのクレートはレジストリから削除されました。
このバックドアは、SSHの認証コントロールを迂回し、遠隔からコードを実行することを可能にするもので、Linuxシステムの乗っ取りを可能にする潜在的なリスクを持っていました。この問題は、Microsoftのエンジニアによって発見され、XZ Utilsのバージョン5.6.0と5.6.1に影響を与える悪意のあるコミットが特定されました。
この事件は、オープンソースのソフトウェアプロジェクトが、ソーシャルエンジニアリングキャンペーンの標的になり、ソフトウェアサプライチェーン攻撃を受けるリスクがあることを示しています。攻撃者は、偽の開発者アカウントを使用してプロジェクトに貢献し、信頼を築き、最終的には悪意のあるコードをプロジェクトに組み込むことができました。
このような攻撃は、オープンソースプロジェクトのセキュリティ対策とメンテナンスプロセスに新たな課題を提起します。プロジェクトメンテナーは、コントリビューターの身元確認やコードレビューの厳格化など、より厳しいセキュリティ対策を講じる必要があります。また、開発者や組織は、使用しているライブラリや依存関係を定期的に監視し、セキュリティアップデートを迅速に適用することが重要です。
この事件は、オープンソースソフトウェアのセキュリティと信頼性を維持するために、コミュニティ全体での協力と透明性が不可欠であることを改めて強調しています。また、サプライチェーン攻撃のリスクを理解し、対策を講じることの重要性を、開発者や組織に再認識させる出来事となりました。
from Popular Rust Crate liblzma-sys Compromised with XZ Utils Backdoor Files.
“Rustのliblzma-sysに潜むバックドア、21,000回以上のダウンロード後に発覚” への1件のコメント
このニュースは本当に心配ですね。オープンソースのプロジェクトがサイバーセキュリティの脅威にさらされることは、私たちのデジタル社会において大きな問題です。オープンソースソフトウェアは、私たちが日常的に使用している多くのアプリケーションやサービスの基盤となっていますから、その安全性が compromised(侵害される)ことは、私たち全員にとって直接的な影響があると思います。
特に、liblzma-sysのように広くダウンロードされているライブラリがバックドアを含むテストファイルに侵害されたというのは、攻撃者がどれだけ巧妙にシステムを乗っ取ろうとしているかを示しています。SSHの認証コントロールを迂回し、遠隔からコードを実行できるようにするなど、その手法の巧妙さには驚かされます。
この事件から、オープンソースプロジェクトのセキュリティ対策とメンテナンスプロセスに新たな課題が提起されているのがわかります。プロジェクトメンテナーは、コントリビューターの身元確認やコードレビューをより厳格に行う必要がありますし、開発者や組織も、使用しているライブラリや依存関係を常に監視し、セキュリティアップデートを迅速に適用することの重要性を再