ブログ

LinuxにおけるXZ Utilsのバックドアは、より広範なサプライチェーンのセキュリティ問題を示唆している。

ピーテル・ダンヒユー
2024年4月11日発行

サイバーセキュリティ業界は、陰湿なソフトウェア・サプライチェーンの侵害が発見されたことを受け、再び厳戒態勢に入った。この脆弱性は、主要なLinuxディストリビューションに同梱されているXZ Utilsデータ圧縮ライブラリに影響を及ぼすもので、CVE-2024-3094の下で記録されており、かつては信頼されていたボランティアのシステムメンテナによって意図的に挿入されたバックドアに帰結する。

ありがたいことに、悪意のあるコードがLinuxの安定したリリースに入る前に、別のメンテナがこの脅威を発見しましたが、Fedora Rawhideの一部としてXZ Utilsのバージョン5.6.0.および5.6.1.を実行し始めた人にはまだ問題が残っており、組織は緊急レベルの優先事項としてパッチを当てるよう促されています。この発見が間に合わなかった場合、そのリスクプロファイルは、おそらく SolarWinds を凌ぐ、記録上最も壊滅的なサプライチェーン攻撃の一つとなるでしょう。

重要なシステムを維持するためのコミュニティボランティアへの依存は、広く文書化されていますが、この事件のような影響力の大きい問題が表面化するまでは、ほとんど議論されません。彼らのたゆまぬ努力は、オープンソースソフトウェアの保守に不可欠である一方、この事件は、ソフトウェアリポジトリへのアクセス管理を強化することはもちろん、開発者レベルでのセキュリティスキルと意識に真剣に重点を置く必要性を浮き彫りにしている。

XZ Utilsのバックドアとは何ですか?

3月29日、Red HatはFedora Linux 40とFedora Rawhideのユーザーに対し、「XZ」圧縮ツールとライブラリの最新バージョンに、第三者による不正アクセスを容易にする目的で作られたと思われる悪質なコードが含まれていることを知らせる緊急セキュリティ警告を発表した。この悪質なコードがどのように注入されたかは、おそらく今後激しい研究の対象になるだろうが、脅威の主体である「Jia Tan」と呼ばれる偽名攻撃者側の、洗練された忍耐強い、何年にもわたるソーシャル・エンジニアリングの演習に相当する。この人物は、他のメンテナーの信頼を得るために数え切れないほどの時間を費やし、2年以上にわたってXZ Utilsプロジェクトとコミュニティに正当な貢献を行い、最終的には、複数のソックパペット・アカウントがボランティア・プロジェクトのオーナーであるLasse Collinの信頼を低下させた後、「信頼されたメンテナー」の地位を獲得した:

プロジェクトに貢献した賈丹。出典メール・アーカイブ

元メンテナーは酷使されていた。Jia Tanはコミュニティからの信頼を得て、引き継ぐことになった。 ソースはこちら:メールアーカイブ

この異常なシナリオは、高度な技術を持つ人が、一般的に知識の浅い人に対する手口の犠牲になっている典型的な例であり、正確で役割に応じたセキュリティ意識向上トレーニングの必要性を示している。バックドアが発見され、バージョンがロールバックされたのは、マイクロソフトのソフトウェア・エンジニアであり、PostgreSQLのメンテナであるアンドレス・フロイントの探究心と素早い思考によるものであった。

このバックドア自体は、NISTのレジストリにおいて、可能な限り深刻度が高い脆弱性として公式に追跡されている。当初は SSH 認証の回避を可能にすると考えられていましたが、さらなる調査により、Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed、および Debian の一部のバージョンを含む脆弱な Linux システム上で、認証されていないリモート・コード実行が可能であることが判明しました。

Jia Tan 氏は、悪意のあるパッケージを難読化するために多大な労力を費やしたようで、ビルド・プロセス中に自身を構築するようトリガーされると、systemd を介した SSHd の認証が妨害されます。Red Hatが詳述しているように、適切な状況下では、この妨害によって攻撃者が SSHd 認証を破り、システム全体へのリモートからの不正アクセスを許してしまう可能性があります。

Jia Tan の libarchive repo への最初のコミット。 safe_fprintf()関数fprintf()置き換えた 。この段階では悪意はなかったかもしれないが、この変更が文字エスケープの脆弱性をもたらす可能性があることは見過ごせない。ソースはこちら:GitHub.



マイクロソフト社などは、エクスプロイトのインスタンスをシステムでスキャンし、その影響を軽減するための包括的なガイダンスを公表しています。CISAが推奨する緊急の対策は、影響を受ける開発者とユーザーは、XZ UtilsをXZ Utils 5.4.6 Stableのような、問題のないバージョンにダウングレードすることです。

この種の攻撃を防ぐことは、特にオープンソースのコンポーネントをソフトウェアで利用する場合、サプライチェーンのセキュリティに対する保証と透明性がほとんどないため、非常に困難です。私たちは、ソフトウェアのサプライチェーンにおける偶発的な欠陥にはすでに対処してきましたが、このリスクは、オープンソースのセキュリティを侵害するために悪意を持って意図的に仕掛けられたセキュリティバグにまで高まっています。

ほとんどの開発者は、セキュリティに対する強い意識と健全なセキュリティ知識、そしてパラノイアを振りかけない限り、この種の攻撃を阻止することはできないでしょう。それはほとんど、脅威行為者の考え方を必要とする場合です。しかし、社内で管理されている(つまりオープンソースではない)ソースコードレポジトリを中心に、常に検討を重ねるべきである。これらは、検証された関連するセキュリティ・スキルを持つ人だけがアクセスできるようにすべきである。AppSec の専門家は、ブランチレベルのセキュリティ管理のようなセットアップを検討し、セキュリ ティスキルのある開発者だけが最終的なマスターブランチに変更をコミットできるようにする。

ボランティアメンテナーは英雄だが、安全なソフトウェアを維持するには村が必要だ。

ソフトウェア・エンジニアリングの領域外の人々にとっては、ボランティアで構成される活気あるコミュニティが、重要なシステムを自分の時間を使って丹念に保守するという概念は、理解しがたいものですが、これがオープンソース開発の本質であり、サプライチェーンを保護するセキュリティの専門家にとっては、重大なリスクの領域であり続けています。

オープンソース・ソフトウェアは、事実上すべての企業のデジタル・エコシステムの重要な一部であり、信頼できるメンテナ(そのほとんどは善意で行動している)は、技術の進歩と完全性を無私の心で追求することにおいて、本当に英雄的である。このようなDevSecOps中心の時代においては、セキュリティは共有責任であり、すべての開発者は、業務中に遭遇する可能性の高いセキュリティ問題をナビゲートするための知識と適切なツールで武装しなければならない。セキュリティ意識と実践的なスキルは、ソフトウェア開発プロセスにおいて譲れないものであるべきであり、企業レベルの変化に影響を与えるのはセキュリティリーダーにかかっている。

セキュリティ文化の 構築 ﹑徹底的な調査によって、今すぐ組織に活気あるセキュリ ティ 文化を構築する Courses Secure Code Warrior から。

リソースを見る
リソースを見る

主要なLinuxディストリビューションで使用されているXZ Utilsデータ圧縮ライブラリに、脅威者によるバックドア経由で侵入された重大な脆弱性(CVE-2024-3094)が発見された。この深刻度の高い問題は、リモートでコードが実行される可能性があり、ソフトウェアのビルドプロセスに重大なリスクをもたらす。この欠陥は、Fedora RawhideのXZ Utilsの初期バージョン(5.6.0および5.6.1)に影響し、組織に対してパッチの適用を緊急に呼びかけています。この事故は、オープンソースソフトウェアの保守におけるコミュニティボランティアの重要な役割を強調し、ソフトウェア開発ライフサイクルにおけるセキュリティ対策とアクセス制御の強化の必要性を強調しています。

ご興味がおありですか?

最高経営責任者(CEO)、会長、および共同設立者

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約する
シェアする
著者
ピーテル・ダンヒユー
2024年4月11日発行

最高経営責任者(CEO)、会長、および共同設立者

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

シェアする

サイバーセキュリティ業界は、陰湿なソフトウェア・サプライチェーンの侵害が発見されたことを受け、再び厳戒態勢に入った。この脆弱性は、主要なLinuxディストリビューションに同梱されているXZ Utilsデータ圧縮ライブラリに影響を及ぼすもので、CVE-2024-3094の下で記録されており、かつては信頼されていたボランティアのシステムメンテナによって意図的に挿入されたバックドアに帰結する。

ありがたいことに、悪意のあるコードがLinuxの安定したリリースに入る前に、別のメンテナがこの脅威を発見しましたが、Fedora Rawhideの一部としてXZ Utilsのバージョン5.6.0.および5.6.1.を実行し始めた人にはまだ問題が残っており、組織は緊急レベルの優先事項としてパッチを当てるよう促されています。この発見が間に合わなかった場合、そのリスクプロファイルは、おそらく SolarWinds を凌ぐ、記録上最も壊滅的なサプライチェーン攻撃の一つとなるでしょう。

重要なシステムを維持するためのコミュニティボランティアへの依存は、広く文書化されていますが、この事件のような影響力の大きい問題が表面化するまでは、ほとんど議論されません。彼らのたゆまぬ努力は、オープンソースソフトウェアの保守に不可欠である一方、この事件は、ソフトウェアリポジトリへのアクセス管理を強化することはもちろん、開発者レベルでのセキュリティスキルと意識に真剣に重点を置く必要性を浮き彫りにしている。

XZ Utilsのバックドアとは何ですか?

3月29日、Red HatはFedora Linux 40とFedora Rawhideのユーザーに対し、「XZ」圧縮ツールとライブラリの最新バージョンに、第三者による不正アクセスを容易にする目的で作られたと思われる悪質なコードが含まれていることを知らせる緊急セキュリティ警告を発表した。この悪質なコードがどのように注入されたかは、おそらく今後激しい研究の対象になるだろうが、脅威の主体である「Jia Tan」と呼ばれる偽名攻撃者側の、洗練された忍耐強い、何年にもわたるソーシャル・エンジニアリングの演習に相当する。この人物は、他のメンテナーの信頼を得るために数え切れないほどの時間を費やし、2年以上にわたってXZ Utilsプロジェクトとコミュニティに正当な貢献を行い、最終的には、複数のソックパペット・アカウントがボランティア・プロジェクトのオーナーであるLasse Collinの信頼を低下させた後、「信頼されたメンテナー」の地位を獲得した:

プロジェクトに貢献した賈丹。出典メール・アーカイブ

元メンテナーは酷使されていた。Jia Tanはコミュニティからの信頼を得て、引き継ぐことになった。 ソースはこちら:メールアーカイブ

この異常なシナリオは、高度な技術を持つ人が、一般的に知識の浅い人に対する手口の犠牲になっている典型的な例であり、正確で役割に応じたセキュリティ意識向上トレーニングの必要性を示している。バックドアが発見され、バージョンがロールバックされたのは、マイクロソフトのソフトウェア・エンジニアであり、PostgreSQLのメンテナであるアンドレス・フロイントの探究心と素早い思考によるものであった。

このバックドア自体は、NISTのレジストリにおいて、可能な限り深刻度が高い脆弱性として公式に追跡されている。当初は SSH 認証の回避を可能にすると考えられていましたが、さらなる調査により、Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed、および Debian の一部のバージョンを含む脆弱な Linux システム上で、認証されていないリモート・コード実行が可能であることが判明しました。

Jia Tan 氏は、悪意のあるパッケージを難読化するために多大な労力を費やしたようで、ビルド・プロセス中に自身を構築するようトリガーされると、systemd を介した SSHd の認証が妨害されます。Red Hatが詳述しているように、適切な状況下では、この妨害によって攻撃者が SSHd 認証を破り、システム全体へのリモートからの不正アクセスを許してしまう可能性があります。

Jia Tan の libarchive repo への最初のコミット。 safe_fprintf()関数fprintf()置き換えた 。この段階では悪意はなかったかもしれないが、この変更が文字エスケープの脆弱性をもたらす可能性があることは見過ごせない。ソースはこちら:GitHub.



マイクロソフト社などは、エクスプロイトのインスタンスをシステムでスキャンし、その影響を軽減するための包括的なガイダンスを公表しています。CISAが推奨する緊急の対策は、影響を受ける開発者とユーザーは、XZ UtilsをXZ Utils 5.4.6 Stableのような、問題のないバージョンにダウングレードすることです。

この種の攻撃を防ぐことは、特にオープンソースのコンポーネントをソフトウェアで利用する場合、サプライチェーンのセキュリティに対する保証と透明性がほとんどないため、非常に困難です。私たちは、ソフトウェアのサプライチェーンにおける偶発的な欠陥にはすでに対処してきましたが、このリスクは、オープンソースのセキュリティを侵害するために悪意を持って意図的に仕掛けられたセキュリティバグにまで高まっています。

ほとんどの開発者は、セキュリティに対する強い意識と健全なセキュリティ知識、そしてパラノイアを振りかけない限り、この種の攻撃を阻止することはできないでしょう。それはほとんど、脅威行為者の考え方を必要とする場合です。しかし、社内で管理されている(つまりオープンソースではない)ソースコードレポジトリを中心に、常に検討を重ねるべきである。これらは、検証された関連するセキュリティ・スキルを持つ人だけがアクセスできるようにすべきである。AppSec の専門家は、ブランチレベルのセキュリティ管理のようなセットアップを検討し、セキュリ ティスキルのある開発者だけが最終的なマスターブランチに変更をコミットできるようにする。

ボランティアメンテナーは英雄だが、安全なソフトウェアを維持するには村が必要だ。

ソフトウェア・エンジニアリングの領域外の人々にとっては、ボランティアで構成される活気あるコミュニティが、重要なシステムを自分の時間を使って丹念に保守するという概念は、理解しがたいものですが、これがオープンソース開発の本質であり、サプライチェーンを保護するセキュリティの専門家にとっては、重大なリスクの領域であり続けています。

オープンソース・ソフトウェアは、事実上すべての企業のデジタル・エコシステムの重要な一部であり、信頼できるメンテナ(そのほとんどは善意で行動している)は、技術の進歩と完全性を無私の心で追求することにおいて、本当に英雄的である。このようなDevSecOps中心の時代においては、セキュリティは共有責任であり、すべての開発者は、業務中に遭遇する可能性の高いセキュリティ問題をナビゲートするための知識と適切なツールで武装しなければならない。セキュリティ意識と実践的なスキルは、ソフトウェア開発プロセスにおいて譲れないものであるべきであり、企業レベルの変化に影響を与えるのはセキュリティリーダーにかかっている。

セキュリティ文化の 構築 ﹑徹底的な調査によって、今すぐ組織に活気あるセキュリ ティ 文化を構築する Courses Secure Code Warrior から。

リソースを見る
リソースを見る

以下のフォームに記入し、レポートをダウンロードしてください。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

送信
フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。

サイバーセキュリティ業界は、陰湿なソフトウェア・サプライチェーンの侵害が発見されたことを受け、再び厳戒態勢に入った。この脆弱性は、主要なLinuxディストリビューションに同梱されているXZ Utilsデータ圧縮ライブラリに影響を及ぼすもので、CVE-2024-3094の下で記録されており、かつては信頼されていたボランティアのシステムメンテナによって意図的に挿入されたバックドアに帰結する。

ありがたいことに、悪意のあるコードがLinuxの安定したリリースに入る前に、別のメンテナがこの脅威を発見しましたが、Fedora Rawhideの一部としてXZ Utilsのバージョン5.6.0.および5.6.1.を実行し始めた人にはまだ問題が残っており、組織は緊急レベルの優先事項としてパッチを当てるよう促されています。この発見が間に合わなかった場合、そのリスクプロファイルは、おそらく SolarWinds を凌ぐ、記録上最も壊滅的なサプライチェーン攻撃の一つとなるでしょう。

重要なシステムを維持するためのコミュニティボランティアへの依存は、広く文書化されていますが、この事件のような影響力の大きい問題が表面化するまでは、ほとんど議論されません。彼らのたゆまぬ努力は、オープンソースソフトウェアの保守に不可欠である一方、この事件は、ソフトウェアリポジトリへのアクセス管理を強化することはもちろん、開発者レベルでのセキュリティスキルと意識に真剣に重点を置く必要性を浮き彫りにしている。

XZ Utilsのバックドアとは何ですか?

3月29日、Red HatはFedora Linux 40とFedora Rawhideのユーザーに対し、「XZ」圧縮ツールとライブラリの最新バージョンに、第三者による不正アクセスを容易にする目的で作られたと思われる悪質なコードが含まれていることを知らせる緊急セキュリティ警告を発表した。この悪質なコードがどのように注入されたかは、おそらく今後激しい研究の対象になるだろうが、脅威の主体である「Jia Tan」と呼ばれる偽名攻撃者側の、洗練された忍耐強い、何年にもわたるソーシャル・エンジニアリングの演習に相当する。この人物は、他のメンテナーの信頼を得るために数え切れないほどの時間を費やし、2年以上にわたってXZ Utilsプロジェクトとコミュニティに正当な貢献を行い、最終的には、複数のソックパペット・アカウントがボランティア・プロジェクトのオーナーであるLasse Collinの信頼を低下させた後、「信頼されたメンテナー」の地位を獲得した:

プロジェクトに貢献した賈丹。出典メール・アーカイブ

元メンテナーは酷使されていた。Jia Tanはコミュニティからの信頼を得て、引き継ぐことになった。 ソースはこちら:メールアーカイブ

この異常なシナリオは、高度な技術を持つ人が、一般的に知識の浅い人に対する手口の犠牲になっている典型的な例であり、正確で役割に応じたセキュリティ意識向上トレーニングの必要性を示している。バックドアが発見され、バージョンがロールバックされたのは、マイクロソフトのソフトウェア・エンジニアであり、PostgreSQLのメンテナであるアンドレス・フロイントの探究心と素早い思考によるものであった。

このバックドア自体は、NISTのレジストリにおいて、可能な限り深刻度が高い脆弱性として公式に追跡されている。当初は SSH 認証の回避を可能にすると考えられていましたが、さらなる調査により、Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed、および Debian の一部のバージョンを含む脆弱な Linux システム上で、認証されていないリモート・コード実行が可能であることが判明しました。

Jia Tan 氏は、悪意のあるパッケージを難読化するために多大な労力を費やしたようで、ビルド・プロセス中に自身を構築するようトリガーされると、systemd を介した SSHd の認証が妨害されます。Red Hatが詳述しているように、適切な状況下では、この妨害によって攻撃者が SSHd 認証を破り、システム全体へのリモートからの不正アクセスを許してしまう可能性があります。

Jia Tan の libarchive repo への最初のコミット。 safe_fprintf()関数fprintf()置き換えた 。この段階では悪意はなかったかもしれないが、この変更が文字エスケープの脆弱性をもたらす可能性があることは見過ごせない。ソースはこちら:GitHub.



マイクロソフト社などは、エクスプロイトのインスタンスをシステムでスキャンし、その影響を軽減するための包括的なガイダンスを公表しています。CISAが推奨する緊急の対策は、影響を受ける開発者とユーザーは、XZ UtilsをXZ Utils 5.4.6 Stableのような、問題のないバージョンにダウングレードすることです。

この種の攻撃を防ぐことは、特にオープンソースのコンポーネントをソフトウェアで利用する場合、サプライチェーンのセキュリティに対する保証と透明性がほとんどないため、非常に困難です。私たちは、ソフトウェアのサプライチェーンにおける偶発的な欠陥にはすでに対処してきましたが、このリスクは、オープンソースのセキュリティを侵害するために悪意を持って意図的に仕掛けられたセキュリティバグにまで高まっています。

ほとんどの開発者は、セキュリティに対する強い意識と健全なセキュリティ知識、そしてパラノイアを振りかけない限り、この種の攻撃を阻止することはできないでしょう。それはほとんど、脅威行為者の考え方を必要とする場合です。しかし、社内で管理されている(つまりオープンソースではない)ソースコードレポジトリを中心に、常に検討を重ねるべきである。これらは、検証された関連するセキュリティ・スキルを持つ人だけがアクセスできるようにすべきである。AppSec の専門家は、ブランチレベルのセキュリティ管理のようなセットアップを検討し、セキュリ ティスキルのある開発者だけが最終的なマスターブランチに変更をコミットできるようにする。

ボランティアメンテナーは英雄だが、安全なソフトウェアを維持するには村が必要だ。

ソフトウェア・エンジニアリングの領域外の人々にとっては、ボランティアで構成される活気あるコミュニティが、重要なシステムを自分の時間を使って丹念に保守するという概念は、理解しがたいものですが、これがオープンソース開発の本質であり、サプライチェーンを保護するセキュリティの専門家にとっては、重大なリスクの領域であり続けています。

オープンソース・ソフトウェアは、事実上すべての企業のデジタル・エコシステムの重要な一部であり、信頼できるメンテナ(そのほとんどは善意で行動している)は、技術の進歩と完全性を無私の心で追求することにおいて、本当に英雄的である。このようなDevSecOps中心の時代においては、セキュリティは共有責任であり、すべての開発者は、業務中に遭遇する可能性の高いセキュリティ問題をナビゲートするための知識と適切なツールで武装しなければならない。セキュリティ意識と実践的なスキルは、ソフトウェア開発プロセスにおいて譲れないものであるべきであり、企業レベルの変化に影響を与えるのはセキュリティリーダーにかかっている。

セキュリティ文化の 構築 ﹑徹底的な調査によって、今すぐ組織に活気あるセキュリ ティ 文化を構築する Courses Secure Code Warrior から。

リソースにアクセス

以下のリンクをクリックし、この資料のPDFをダウンロードしてください。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

レポートを見るデモを予約する
PDFをダウンロード
リソースを見る
シェアする
ご興味がおありですか?

シェアする
著者
ピーテル・ダンヒユー
2024年4月11日発行

最高経営責任者(CEO)、会長、および共同設立者

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

シェアする

サイバーセキュリティ業界は、陰湿なソフトウェア・サプライチェーンの侵害が発見されたことを受け、再び厳戒態勢に入った。この脆弱性は、主要なLinuxディストリビューションに同梱されているXZ Utilsデータ圧縮ライブラリに影響を及ぼすもので、CVE-2024-3094の下で記録されており、かつては信頼されていたボランティアのシステムメンテナによって意図的に挿入されたバックドアに帰結する。

ありがたいことに、悪意のあるコードがLinuxの安定したリリースに入る前に、別のメンテナがこの脅威を発見しましたが、Fedora Rawhideの一部としてXZ Utilsのバージョン5.6.0.および5.6.1.を実行し始めた人にはまだ問題が残っており、組織は緊急レベルの優先事項としてパッチを当てるよう促されています。この発見が間に合わなかった場合、そのリスクプロファイルは、おそらく SolarWinds を凌ぐ、記録上最も壊滅的なサプライチェーン攻撃の一つとなるでしょう。

重要なシステムを維持するためのコミュニティボランティアへの依存は、広く文書化されていますが、この事件のような影響力の大きい問題が表面化するまでは、ほとんど議論されません。彼らのたゆまぬ努力は、オープンソースソフトウェアの保守に不可欠である一方、この事件は、ソフトウェアリポジトリへのアクセス管理を強化することはもちろん、開発者レベルでのセキュリティスキルと意識に真剣に重点を置く必要性を浮き彫りにしている。

XZ Utilsのバックドアとは何ですか?

3月29日、Red HatはFedora Linux 40とFedora Rawhideのユーザーに対し、「XZ」圧縮ツールとライブラリの最新バージョンに、第三者による不正アクセスを容易にする目的で作られたと思われる悪質なコードが含まれていることを知らせる緊急セキュリティ警告を発表した。この悪質なコードがどのように注入されたかは、おそらく今後激しい研究の対象になるだろうが、脅威の主体である「Jia Tan」と呼ばれる偽名攻撃者側の、洗練された忍耐強い、何年にもわたるソーシャル・エンジニアリングの演習に相当する。この人物は、他のメンテナーの信頼を得るために数え切れないほどの時間を費やし、2年以上にわたってXZ Utilsプロジェクトとコミュニティに正当な貢献を行い、最終的には、複数のソックパペット・アカウントがボランティア・プロジェクトのオーナーであるLasse Collinの信頼を低下させた後、「信頼されたメンテナー」の地位を獲得した:

プロジェクトに貢献した賈丹。出典メール・アーカイブ

元メンテナーは酷使されていた。Jia Tanはコミュニティからの信頼を得て、引き継ぐことになった。 ソースはこちら:メールアーカイブ

この異常なシナリオは、高度な技術を持つ人が、一般的に知識の浅い人に対する手口の犠牲になっている典型的な例であり、正確で役割に応じたセキュリティ意識向上トレーニングの必要性を示している。バックドアが発見され、バージョンがロールバックされたのは、マイクロソフトのソフトウェア・エンジニアであり、PostgreSQLのメンテナであるアンドレス・フロイントの探究心と素早い思考によるものであった。

このバックドア自体は、NISTのレジストリにおいて、可能な限り深刻度が高い脆弱性として公式に追跡されている。当初は SSH 認証の回避を可能にすると考えられていましたが、さらなる調査により、Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed、および Debian の一部のバージョンを含む脆弱な Linux システム上で、認証されていないリモート・コード実行が可能であることが判明しました。

Jia Tan 氏は、悪意のあるパッケージを難読化するために多大な労力を費やしたようで、ビルド・プロセス中に自身を構築するようトリガーされると、systemd を介した SSHd の認証が妨害されます。Red Hatが詳述しているように、適切な状況下では、この妨害によって攻撃者が SSHd 認証を破り、システム全体へのリモートからの不正アクセスを許してしまう可能性があります。

Jia Tan の libarchive repo への最初のコミット。 safe_fprintf()関数fprintf()置き換えた 。この段階では悪意はなかったかもしれないが、この変更が文字エスケープの脆弱性をもたらす可能性があることは見過ごせない。ソースはこちら:GitHub.



マイクロソフト社などは、エクスプロイトのインスタンスをシステムでスキャンし、その影響を軽減するための包括的なガイダンスを公表しています。CISAが推奨する緊急の対策は、影響を受ける開発者とユーザーは、XZ UtilsをXZ Utils 5.4.6 Stableのような、問題のないバージョンにダウングレードすることです。

この種の攻撃を防ぐことは、特にオープンソースのコンポーネントをソフトウェアで利用する場合、サプライチェーンのセキュリティに対する保証と透明性がほとんどないため、非常に困難です。私たちは、ソフトウェアのサプライチェーンにおける偶発的な欠陥にはすでに対処してきましたが、このリスクは、オープンソースのセキュリティを侵害するために悪意を持って意図的に仕掛けられたセキュリティバグにまで高まっています。

ほとんどの開発者は、セキュリティに対する強い意識と健全なセキュリティ知識、そしてパラノイアを振りかけない限り、この種の攻撃を阻止することはできないでしょう。それはほとんど、脅威行為者の考え方を必要とする場合です。しかし、社内で管理されている(つまりオープンソースではない)ソースコードレポジトリを中心に、常に検討を重ねるべきである。これらは、検証された関連するセキュリティ・スキルを持つ人だけがアクセスできるようにすべきである。AppSec の専門家は、ブランチレベルのセキュリティ管理のようなセットアップを検討し、セキュリ ティスキルのある開発者だけが最終的なマスターブランチに変更をコミットできるようにする。

ボランティアメンテナーは英雄だが、安全なソフトウェアを維持するには村が必要だ。

ソフトウェア・エンジニアリングの領域外の人々にとっては、ボランティアで構成される活気あるコミュニティが、重要なシステムを自分の時間を使って丹念に保守するという概念は、理解しがたいものですが、これがオープンソース開発の本質であり、サプライチェーンを保護するセキュリティの専門家にとっては、重大なリスクの領域であり続けています。

オープンソース・ソフトウェアは、事実上すべての企業のデジタル・エコシステムの重要な一部であり、信頼できるメンテナ(そのほとんどは善意で行動している)は、技術の進歩と完全性を無私の心で追求することにおいて、本当に英雄的である。このようなDevSecOps中心の時代においては、セキュリティは共有責任であり、すべての開発者は、業務中に遭遇する可能性の高いセキュリティ問題をナビゲートするための知識と適切なツールで武装しなければならない。セキュリティ意識と実践的なスキルは、ソフトウェア開発プロセスにおいて譲れないものであるべきであり、企業レベルの変化に影響を与えるのはセキュリティリーダーにかかっている。

セキュリティ文化の 構築 ﹑徹底的な調査によって、今すぐ組織に活気あるセキュリ ティ 文化を構築する Courses Secure Code Warrior から。

目次

PDFをダウンロード
リソースを見る
ご興味がおありですか?

最高経営責任者(CEO)、会長、および共同設立者

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約するダウンロード
シェアする
リソース・ハブ

始めるためのリソース

その他の記事
リソース・ハブ

始めるためのリソース

その他の記事