広く使用されている Linux ツールで見つかったバックドアにより、暗号化された SSH 接続が破壊される

研究者らは、Red Hat や Debian など、広く使用されている Linux ディストリビューションに侵入する圧縮ツールに悪意のあるバックドアを発見しました。

として知られる圧縮ツール xzツール、バージョン 5.6.0 および 5.6.1 で悪意のあるコードが導入されました。 によると それを発見した開発者、アンダース・フロイント氏。 これらのバージョンが主要な Linux ディストリビューションの製品リリースに統合されているという既知の報告はありませんが、どちらも統合されています。 赤い帽子 そして デビアン 最近公開されたベータ リリースでは、特に Fedora 40、Fedora Rawhide、Debian、および不安定な実験的ディストリビューションのテストで、バックドア バージョンの少なくとも 1 つが使用されていることを述べました。 Arch Linux の安定版も影響を受けます。 ただし、このディストリビューションは運用システムでは使用されません。

このバックドアは、悪意のあるバージョンの xz Utils が Linux の実稼働ビルドに追加される前に発見されたため、「現実世界の誰にも大きな影響を与えることはない」とセキュリティ会社 ANALYGENCE の上級脆弱性アナリスト、ウィル・ドーマン氏はオンラインインタビューで述べた。 。 「しかしそれは、悪役の過失により早期に発見されたからに過ぎません。もし発見されていなかったら、それは世界にとって大惨事になっていたでしょう。」

2 人の Ars 読者を含む複数の人々が、macOS 用の HomeBrew パッケージ マネージャーに含まれる複数のアプリが、バックドア化された xz Utils バージョン 5.6.1 に依存していると報告しました。 あるユーザーは、これらのアプリケーションには、aom、cairo、ffmpeg、gcc、glib、harfbuzz、jpeg-xl、leptonica、libarchive、libtiff、little-cms2、numpy、openblas、openjpeg、openvino、pango、python@3.11、python@ が含まれると述べました。 3.12、tesseract、webp、yt-dlp、zstd。 他のユーザーは、HomeBrew がユーティリティをバージョン 5.4.6 に戻したと述べました。

SSH認証を解除する

バックドアの最初の兆候は、謎のコードを追加した2月23日のアップデートで導入された、とRed Hat関係者は電子メールで述べた。 翌日のアップデートには、SSH を機能させるバイナリである sshd によって使用される機能に自分自身を挿入する悪意のあるインストーラーが含まれていました。 悪意のあるコードは、初期段階でリリースされたアーカイブ バージョン (tarball として知られる) にのみ存在していました。 リポジトリで利用可能ないわゆる GIT コードは影響を受けませんが、ビルド時に注入を可能にするフェーズ 2 アーティファクトが含まれています。 2 月 23 日に提出された難読化されたコードの場合、GIT リリースに存在するアーティファクトによりバックドアの動作が可能になります。

悪意のある変更は、xz Utils の主要な開発者の 1 人であり、プロジェクトに長年貢献してきた JiaT75 によって送信されました。

「数週間にわたって続いている活動を考慮すると、加害者が直接関与したか、システムに重大な侵害があったかのどちらかです」と配給会社オープンウォールの関係者は書簡の中で述べた。 アドバイザー。 「残念ながら、最近のアップデートで提供された「修正」についてさまざまなリストで報告されているため、後者は最も可能性の低い説明のようです。 これらの更新と修正はここで見つけることができます ここ、 ここ、 ここ、 そして ここ。

木曜日、開発者の名前を使った何者かが Ubuntu 開発者の Web サイトにアクセスし、バックドア 5.6.1 のリリースをリクエストしました。 製品版に統合されました Valgrind として知られるツールの誤動作を引き起こすバグが修正されたためです。

「これにより、成功するために Valgrind からの特定の出力を期待するビルド スクリプトやテスト パイプラインが壊れる可能性があります」と、この関係者は同日に作成されたアカウントについて警告しました。

Fedora の管理者の 1 人 フライデーは言った 同じ開発者はここ数週間、ベータ版である Fedora 40 のリリースにバックドア ユーティリティ リリースの 1 つを含めるように問い合わせてきました。

「私たちはまた、彼と協力して valgrind の問題（現在、彼が追加したバックドアが原因であることが判明しています）を修正しました」と Ubuntu のメンテナーは語った。

これは 2 年間にわたって xz プロジェクトの一部として、あらゆる種類のテスト バイナリ ファイルを追加してきました。正直に言うと、このレベルの洗練度を考えると、そうでないことが証明されるまでは、xz の古いバージョンであっても懐疑的です。

xz Utils のモデレーターは質問メールにすぐには返答しなかった。

研究者らは、悪意のあるバージョンは、システムにリモート接続するために一般的に使用されるプロトコルである SSH によって実行される認証を意図的に妨害したと述べた。 SSH は強力な暗号化を提供し、許可された関係者だけがリモート システムに接続できるようにします。 バックドアは、悪意のある攻撃者が認証を突破し、そこからシステム全体に不正アクセスできるように設計されています。 バックドアは、ログイン プロセスの重要な段階でコードを入力することによって機能します。

フロイント氏は「不正アクセスを許可するために入力されたコードの何が検証されているのか、まだ注意深く分析していない」と書いた。 「これは事前認証のコンテキストで動作するため、何らかの形式のアクセスまたは他の形式のリモート コード実行が許可される可能性があります。」

場合によっては、バックドアが意図したとおりに機能しないことがありました。 たとえば、Fedora 40 のビルド環境には、注入プロセスが正しく実行されない非互換性が含まれています。 Fedora 40 は、xz Utils の 5.4.x バージョンに戻りました。

Xz Utils は、すべてではないにしてもほとんどの Linux ディストリビューションで利用できますが、すべての Linux ディストリビューションにデフォルトで含まれているわけではありません。 Linux を使用している人は、すぐに販売代理店に問い合わせて、システムが影響を受けるかどうかを確認する必要があります。 Freund は、SSH システムに脆弱性があるかどうかを検出するスクリプトを提供しました。