LinuxにおけるXZ Utilsのバックドアは、より広範なサプライチェーンのセキュリティ問題を示唆している。
サイバーセキュリティ業界は、陰湿なソフトウェア・サプライチェーンの侵害が発見されたことを受け、再び厳戒態勢に入った。この脆弱性は、主要なLinuxディストリビューションに同梱されているXZ Utilsデータ圧縮ライブラリに影響を及ぼすもので、CVE-2024-3094の下で記録されており、かつては信頼されていたボランティアのシステムメンテナによって意図的に挿入されたバックドアに帰結する。
ありがたいことに、悪意のあるコードがLinuxの安定したリリースに入る前に、別のメンテナがこの脅威を発見しましたが、Fedora Rawhideの一部としてXZ Utilsのバージョン5.6.0.および5.6.1.を実行し始めた人にはまだ問題が残っており、組織は緊急レベルの優先事項としてパッチを当てるよう促されています。この発見が間に合わなかった場合、そのリスクプロファイルは、おそらく SolarWinds を凌ぐ、記録上最も壊滅的なサプライチェーン攻撃の一つとなるでしょう。
重要なシステムを維持するためのコミュニティボランティアへの依存は、広く文書化されていますが、この事件のような影響力の大きい問題が表面化するまでは、ほとんど議論されません。彼らのたゆまぬ努力は、オープンソースソフトウェアの保守に不可欠である一方、この事件は、ソフトウェアリポジトリへのアクセス管理を強化することはもちろん、開発者レベルでのセキュリティスキルと意識に真剣に重点を置く必要性を浮き彫りにしている。
XZ Utilsのバックドアとは何ですか?
3月29日、Red HatはFedora Linux 40とFedora Rawhideのユーザーに対し、「XZ」圧縮ツールとライブラリの最新バージョンに、第三者による不正アクセスを容易にする目的で作られたと思われる悪質なコードが含まれていることを知らせる緊急セキュリティ警告を発表した。この悪質なコードがどのように注入されたかは、おそらく今後激しい研究の対象になるだろうが、脅威の主体である「Jia Tan」と呼ばれる偽名攻撃者側の、洗練された忍耐強い、何年にもわたるソーシャル・エンジニアリングの演習に相当する。この人物は、他のメンテナーの信頼を得るために数え切れないほどの時間を費やし、2年以上にわたってXZ Utilsプロジェクトとコミュニティに正当な貢献を行い、最終的には、複数のソックパペット・アカウントがボランティア・プロジェクトのオーナーであるLasse Collinの信頼を低下させた後、「信頼されたメンテナー」の地位を獲得した:
この異常なシナリオは、高度な技術を持つ人が、一般的に知識の浅い人に対する手口の犠牲になっている典型的な例であり、正確で役割に応じたセキュリティ意識向上トレーニングの必要性を示している。バックドアが発見され、バージョンがロールバックされたのは、マイクロソフトのソフトウェア・エンジニアであり、PostgreSQLのメンテナであるアンドレス・フロイントの探究心と素早い思考によるものであった。
このバックドア自体は、NISTのレジストリにおいて、可能な限り深刻度が高い脆弱性として公式に追跡されている。当初は SSH 認証の回避を可能にすると考えられていましたが、さらなる調査により、Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed、および Debian の一部のバージョンを含む脆弱な Linux システム上で、認証されていないリモート・コード実行が可能であることが判明しました。
Jia Tan 氏は、悪意のあるパッケージを難読化するために多大な労力を費やしたようで、ビルド・プロセス中に自身を構築するようトリガーされると、systemd を介した SSHd の認証が妨害されます。Red Hatが詳述しているように、適切な状況下では、この妨害によって攻撃者が SSHd 認証を破り、システム全体へのリモートからの不正アクセスを許してしまう可能性があります。
マイクロソフト社などは、エクスプロイトのインスタンスをシステムでスキャンし、その影響を軽減するための包括的なガイダンスを公表しています。CISAが推奨する緊急の対策は、影響を受ける開発者とユーザーは、XZ UtilsをXZ Utils 5.4.6 Stableのような、問題のないバージョンにダウングレードすることです。
この種の攻撃を防ぐことは、特にオープンソースのコンポーネントをソフトウェアで利用する場合、サプライチェーンのセキュリティに対する保証と透明性がほとんどないため、非常に困難です。私たちは、ソフトウェアのサプライチェーンにおける偶発的な欠陥にはすでに対処してきましたが、このリスクは、オープンソースのセキュリティを侵害するために悪意を持って意図的に仕掛けられたセキュリティバグにまで高まっています。
ほとんどの開発者は、セキュリティに対する強い意識と健全なセキュリティ知識、そしてパラノイアを振りかけない限り、この種の攻撃を阻止することはできないでしょう。それはほとんど、脅威行為者の考え方を必要とする場合です。しかし、社内で管理されている(つまりオープンソースではない)ソースコードレポジトリを中心に、常に検討を重ねるべきである。これらは、検証された関連するセキュリティ・スキルを持つ人だけがアクセスできるようにすべきである。AppSec の専門家は、ブランチレベルのセキュリティ管理のようなセットアップを検討し、セキュリ ティスキルのある開発者だけが最終的なマスターブランチに変更をコミットできるようにする。
ボランティアメンテナーは英雄だが、安全なソフトウェアを維持するには村が必要だ。
ソフトウェア・エンジニアリングの領域外の人々にとっては、ボランティアで構成される活気あるコミュニティが、重要なシステムを自分の時間を使って丹念に保守するという概念は、理解しがたいものですが、これがオープンソース開発の本質であり、サプライチェーンを保護するセキュリティの専門家にとっては、重大なリスクの領域であり続けています。
オープンソース・ソフトウェアは、事実上すべての企業のデジタル・エコシステムの重要な一部であり、信頼できるメンテナ(そのほとんどは善意で行動している)は、技術の進歩と完全性を無私の心で追求することにおいて、本当に英雄的である。このようなDevSecOps中心の時代においては、セキュリティは共有責任であり、すべての開発者は、業務中に遭遇する可能性の高いセキュリティ問題をナビゲートするための知識と適切なツールで武装しなければならない。セキュリティ意識と実践的なスキルは、ソフトウェア開発プロセスにおいて譲れないものであるべきであり、企業レベルの変化に影響を与えるのはセキュリティリーダーにかかっている。
セキュリティ文化の 構築 ﹑徹底的な調査によって、今すぐ組織に活気あるセキュリ ティ 文化を構築する Courses Secure Code Warrior から。
主要なLinuxディストリビューションで使用されているXZ Utilsデータ圧縮ライブラリに、脅威者によるバックドア経由で侵入された重大な脆弱性(CVE-2024-3094)が発見された。この深刻度の高い問題は、リモートでコードが実行される可能性があり、ソフトウェアのビルドプロセスに重大なリスクをもたらす。この欠陥は、Fedora RawhideのXZ Utilsの初期バージョン(5.6.0および5.6.1)に影響し、組織に対してパッチの適用を緊急に呼びかけています。この事故は、オープンソースソフトウェアの保守におけるコミュニティボランティアの重要な役割を強調し、ソフトウェア開発ライフサイクルにおけるセキュリティ対策とアクセス制御の強化の必要性を強調しています。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
サイバーセキュリティ業界は、陰湿なソフトウェア・サプライチェーンの侵害が発見されたことを受け、再び厳戒態勢に入った。この脆弱性は、主要なLinuxディストリビューションに同梱されているXZ Utilsデータ圧縮ライブラリに影響を及ぼすもので、CVE-2024-3094の下で記録されており、かつては信頼されていたボランティアのシステムメンテナによって意図的に挿入されたバックドアに帰結する。
ありがたいことに、悪意のあるコードがLinuxの安定したリリースに入る前に、別のメンテナがこの脅威を発見しましたが、Fedora Rawhideの一部としてXZ Utilsのバージョン5.6.0.および5.6.1.を実行し始めた人にはまだ問題が残っており、組織は緊急レベルの優先事項としてパッチを当てるよう促されています。この発見が間に合わなかった場合、そのリスクプロファイルは、おそらく SolarWinds を凌ぐ、記録上最も壊滅的なサプライチェーン攻撃の一つとなるでしょう。
重要なシステムを維持するためのコミュニティボランティアへの依存は、広く文書化されていますが、この事件のような影響力の大きい問題が表面化するまでは、ほとんど議論されません。彼らのたゆまぬ努力は、オープンソースソフトウェアの保守に不可欠である一方、この事件は、ソフトウェアリポジトリへのアクセス管理を強化することはもちろん、開発者レベルでのセキュリティスキルと意識に真剣に重点を置く必要性を浮き彫りにしている。
XZ Utilsのバックドアとは何ですか?
3月29日、Red HatはFedora Linux 40とFedora Rawhideのユーザーに対し、「XZ」圧縮ツールとライブラリの最新バージョンに、第三者による不正アクセスを容易にする目的で作られたと思われる悪質なコードが含まれていることを知らせる緊急セキュリティ警告を発表した。この悪質なコードがどのように注入されたかは、おそらく今後激しい研究の対象になるだろうが、脅威の主体である「Jia Tan」と呼ばれる偽名攻撃者側の、洗練された忍耐強い、何年にもわたるソーシャル・エンジニアリングの演習に相当する。この人物は、他のメンテナーの信頼を得るために数え切れないほどの時間を費やし、2年以上にわたってXZ Utilsプロジェクトとコミュニティに正当な貢献を行い、最終的には、複数のソックパペット・アカウントがボランティア・プロジェクトのオーナーであるLasse Collinの信頼を低下させた後、「信頼されたメンテナー」の地位を獲得した:
この異常なシナリオは、高度な技術を持つ人が、一般的に知識の浅い人に対する手口の犠牲になっている典型的な例であり、正確で役割に応じたセキュリティ意識向上トレーニングの必要性を示している。バックドアが発見され、バージョンがロールバックされたのは、マイクロソフトのソフトウェア・エンジニアであり、PostgreSQLのメンテナであるアンドレス・フロイントの探究心と素早い思考によるものであった。
このバックドア自体は、NISTのレジストリにおいて、可能な限り深刻度が高い脆弱性として公式に追跡されている。当初は SSH 認証の回避を可能にすると考えられていましたが、さらなる調査により、Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed、および Debian の一部のバージョンを含む脆弱な Linux システム上で、認証されていないリモート・コード実行が可能であることが判明しました。
Jia Tan 氏は、悪意のあるパッケージを難読化するために多大な労力を費やしたようで、ビルド・プロセス中に自身を構築するようトリガーされると、systemd を介した SSHd の認証が妨害されます。Red Hatが詳述しているように、適切な状況下では、この妨害によって攻撃者が SSHd 認証を破り、システム全体へのリモートからの不正アクセスを許してしまう可能性があります。
マイクロソフト社などは、エクスプロイトのインスタンスをシステムでスキャンし、その影響を軽減するための包括的なガイダンスを公表しています。CISAが推奨する緊急の対策は、影響を受ける開発者とユーザーは、XZ UtilsをXZ Utils 5.4.6 Stableのような、問題のないバージョンにダウングレードすることです。
この種の攻撃を防ぐことは、特にオープンソースのコンポーネントをソフトウェアで利用する場合、サプライチェーンのセキュリティに対する保証と透明性がほとんどないため、非常に困難です。私たちは、ソフトウェアのサプライチェーンにおける偶発的な欠陥にはすでに対処してきましたが、このリスクは、オープンソースのセキュリティを侵害するために悪意を持って意図的に仕掛けられたセキュリティバグにまで高まっています。
ほとんどの開発者は、セキュリティに対する強い意識と健全なセキュリティ知識、そしてパラノイアを振りかけない限り、この種の攻撃を阻止することはできないでしょう。それはほとんど、脅威行為者の考え方を必要とする場合です。しかし、社内で管理されている(つまりオープンソースではない)ソースコードレポジトリを中心に、常に検討を重ねるべきである。これらは、検証された関連するセキュリティ・スキルを持つ人だけがアクセスできるようにすべきである。AppSec の専門家は、ブランチレベルのセキュリティ管理のようなセットアップを検討し、セキュリ ティスキルのある開発者だけが最終的なマスターブランチに変更をコミットできるようにする。
ボランティアメンテナーは英雄だが、安全なソフトウェアを維持するには村が必要だ。
ソフトウェア・エンジニアリングの領域外の人々にとっては、ボランティアで構成される活気あるコミュニティが、重要なシステムを自分の時間を使って丹念に保守するという概念は、理解しがたいものですが、これがオープンソース開発の本質であり、サプライチェーンを保護するセキュリティの専門家にとっては、重大なリスクの領域であり続けています。
オープンソース・ソフトウェアは、事実上すべての企業のデジタル・エコシステムの重要な一部であり、信頼できるメンテナ(そのほとんどは善意で行動している)は、技術の進歩と完全性を無私の心で追求することにおいて、本当に英雄的である。このようなDevSecOps中心の時代においては、セキュリティは共有責任であり、すべての開発者は、業務中に遭遇する可能性の高いセキュリティ問題をナビゲートするための知識と適切なツールで武装しなければならない。セキュリティ意識と実践的なスキルは、ソフトウェア開発プロセスにおいて譲れないものであるべきであり、企業レベルの変化に影響を与えるのはセキュリティリーダーにかかっている。
セキュリティ文化の 構築 ﹑徹底的な調査によって、今すぐ組織に活気あるセキュリ ティ 文化を構築する Courses Secure Code Warrior から。
サイバーセキュリティ業界は、陰湿なソフトウェア・サプライチェーンの侵害が発見されたことを受け、再び厳戒態勢に入った。この脆弱性は、主要なLinuxディストリビューションに同梱されているXZ Utilsデータ圧縮ライブラリに影響を及ぼすもので、CVE-2024-3094の下で記録されており、かつては信頼されていたボランティアのシステムメンテナによって意図的に挿入されたバックドアに帰結する。
ありがたいことに、悪意のあるコードがLinuxの安定したリリースに入る前に、別のメンテナがこの脅威を発見しましたが、Fedora Rawhideの一部としてXZ Utilsのバージョン5.6.0.および5.6.1.を実行し始めた人にはまだ問題が残っており、組織は緊急レベルの優先事項としてパッチを当てるよう促されています。この発見が間に合わなかった場合、そのリスクプロファイルは、おそらく SolarWinds を凌ぐ、記録上最も壊滅的なサプライチェーン攻撃の一つとなるでしょう。
重要なシステムを維持するためのコミュニティボランティアへの依存は、広く文書化されていますが、この事件のような影響力の大きい問題が表面化するまでは、ほとんど議論されません。彼らのたゆまぬ努力は、オープンソースソフトウェアの保守に不可欠である一方、この事件は、ソフトウェアリポジトリへのアクセス管理を強化することはもちろん、開発者レベルでのセキュリティスキルと意識に真剣に重点を置く必要性を浮き彫りにしている。
XZ Utilsのバックドアとは何ですか?
3月29日、Red HatはFedora Linux 40とFedora Rawhideのユーザーに対し、「XZ」圧縮ツールとライブラリの最新バージョンに、第三者による不正アクセスを容易にする目的で作られたと思われる悪質なコードが含まれていることを知らせる緊急セキュリティ警告を発表した。この悪質なコードがどのように注入されたかは、おそらく今後激しい研究の対象になるだろうが、脅威の主体である「Jia Tan」と呼ばれる偽名攻撃者側の、洗練された忍耐強い、何年にもわたるソーシャル・エンジニアリングの演習に相当する。この人物は、他のメンテナーの信頼を得るために数え切れないほどの時間を費やし、2年以上にわたってXZ Utilsプロジェクトとコミュニティに正当な貢献を行い、最終的には、複数のソックパペット・アカウントがボランティア・プロジェクトのオーナーであるLasse Collinの信頼を低下させた後、「信頼されたメンテナー」の地位を獲得した:
この異常なシナリオは、高度な技術を持つ人が、一般的に知識の浅い人に対する手口の犠牲になっている典型的な例であり、正確で役割に応じたセキュリティ意識向上トレーニングの必要性を示している。バックドアが発見され、バージョンがロールバックされたのは、マイクロソフトのソフトウェア・エンジニアであり、PostgreSQLのメンテナであるアンドレス・フロイントの探究心と素早い思考によるものであった。
このバックドア自体は、NISTのレジストリにおいて、可能な限り深刻度が高い脆弱性として公式に追跡されている。当初は SSH 認証の回避を可能にすると考えられていましたが、さらなる調査により、Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed、および Debian の一部のバージョンを含む脆弱な Linux システム上で、認証されていないリモート・コード実行が可能であることが判明しました。
Jia Tan 氏は、悪意のあるパッケージを難読化するために多大な労力を費やしたようで、ビルド・プロセス中に自身を構築するようトリガーされると、systemd を介した SSHd の認証が妨害されます。Red Hatが詳述しているように、適切な状況下では、この妨害によって攻撃者が SSHd 認証を破り、システム全体へのリモートからの不正アクセスを許してしまう可能性があります。
マイクロソフト社などは、エクスプロイトのインスタンスをシステムでスキャンし、その影響を軽減するための包括的なガイダンスを公表しています。CISAが推奨する緊急の対策は、影響を受ける開発者とユーザーは、XZ UtilsをXZ Utils 5.4.6 Stableのような、問題のないバージョンにダウングレードすることです。
この種の攻撃を防ぐことは、特にオープンソースのコンポーネントをソフトウェアで利用する場合、サプライチェーンのセキュリティに対する保証と透明性がほとんどないため、非常に困難です。私たちは、ソフトウェアのサプライチェーンにおける偶発的な欠陥にはすでに対処してきましたが、このリスクは、オープンソースのセキュリティを侵害するために悪意を持って意図的に仕掛けられたセキュリティバグにまで高まっています。
ほとんどの開発者は、セキュリティに対する強い意識と健全なセキュリティ知識、そしてパラノイアを振りかけない限り、この種の攻撃を阻止することはできないでしょう。それはほとんど、脅威行為者の考え方を必要とする場合です。しかし、社内で管理されている(つまりオープンソースではない)ソースコードレポジトリを中心に、常に検討を重ねるべきである。これらは、検証された関連するセキュリティ・スキルを持つ人だけがアクセスできるようにすべきである。AppSec の専門家は、ブランチレベルのセキュリティ管理のようなセットアップを検討し、セキュリ ティスキルのある開発者だけが最終的なマスターブランチに変更をコミットできるようにする。
ボランティアメンテナーは英雄だが、安全なソフトウェアを維持するには村が必要だ。
ソフトウェア・エンジニアリングの領域外の人々にとっては、ボランティアで構成される活気あるコミュニティが、重要なシステムを自分の時間を使って丹念に保守するという概念は、理解しがたいものですが、これがオープンソース開発の本質であり、サプライチェーンを保護するセキュリティの専門家にとっては、重大なリスクの領域であり続けています。
オープンソース・ソフトウェアは、事実上すべての企業のデジタル・エコシステムの重要な一部であり、信頼できるメンテナ(そのほとんどは善意で行動している)は、技術の進歩と完全性を無私の心で追求することにおいて、本当に英雄的である。このようなDevSecOps中心の時代においては、セキュリティは共有責任であり、すべての開発者は、業務中に遭遇する可能性の高いセキュリティ問題をナビゲートするための知識と適切なツールで武装しなければならない。セキュリティ意識と実践的なスキルは、ソフトウェア開発プロセスにおいて譲れないものであるべきであり、企業レベルの変化に影響を与えるのはセキュリティリーダーにかかっている。
セキュリティ文化の 構築 ﹑徹底的な調査によって、今すぐ組織に活気あるセキュリ ティ 文化を構築する Courses Secure Code Warrior から。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
サイバーセキュリティ業界は、陰湿なソフトウェア・サプライチェーンの侵害が発見されたことを受け、再び厳戒態勢に入った。この脆弱性は、主要なLinuxディストリビューションに同梱されているXZ Utilsデータ圧縮ライブラリに影響を及ぼすもので、CVE-2024-3094の下で記録されており、かつては信頼されていたボランティアのシステムメンテナによって意図的に挿入されたバックドアに帰結する。
ありがたいことに、悪意のあるコードがLinuxの安定したリリースに入る前に、別のメンテナがこの脅威を発見しましたが、Fedora Rawhideの一部としてXZ Utilsのバージョン5.6.0.および5.6.1.を実行し始めた人にはまだ問題が残っており、組織は緊急レベルの優先事項としてパッチを当てるよう促されています。この発見が間に合わなかった場合、そのリスクプロファイルは、おそらく SolarWinds を凌ぐ、記録上最も壊滅的なサプライチェーン攻撃の一つとなるでしょう。
重要なシステムを維持するためのコミュニティボランティアへの依存は、広く文書化されていますが、この事件のような影響力の大きい問題が表面化するまでは、ほとんど議論されません。彼らのたゆまぬ努力は、オープンソースソフトウェアの保守に不可欠である一方、この事件は、ソフトウェアリポジトリへのアクセス管理を強化することはもちろん、開発者レベルでのセキュリティスキルと意識に真剣に重点を置く必要性を浮き彫りにしている。
XZ Utilsのバックドアとは何ですか?
3月29日、Red HatはFedora Linux 40とFedora Rawhideのユーザーに対し、「XZ」圧縮ツールとライブラリの最新バージョンに、第三者による不正アクセスを容易にする目的で作られたと思われる悪質なコードが含まれていることを知らせる緊急セキュリティ警告を発表した。この悪質なコードがどのように注入されたかは、おそらく今後激しい研究の対象になるだろうが、脅威の主体である「Jia Tan」と呼ばれる偽名攻撃者側の、洗練された忍耐強い、何年にもわたるソーシャル・エンジニアリングの演習に相当する。この人物は、他のメンテナーの信頼を得るために数え切れないほどの時間を費やし、2年以上にわたってXZ Utilsプロジェクトとコミュニティに正当な貢献を行い、最終的には、複数のソックパペット・アカウントがボランティア・プロジェクトのオーナーであるLasse Collinの信頼を低下させた後、「信頼されたメンテナー」の地位を獲得した:
この異常なシナリオは、高度な技術を持つ人が、一般的に知識の浅い人に対する手口の犠牲になっている典型的な例であり、正確で役割に応じたセキュリティ意識向上トレーニングの必要性を示している。バックドアが発見され、バージョンがロールバックされたのは、マイクロソフトのソフトウェア・エンジニアであり、PostgreSQLのメンテナであるアンドレス・フロイントの探究心と素早い思考によるものであった。
このバックドア自体は、NISTのレジストリにおいて、可能な限り深刻度が高い脆弱性として公式に追跡されている。当初は SSH 認証の回避を可能にすると考えられていましたが、さらなる調査により、Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed、および Debian の一部のバージョンを含む脆弱な Linux システム上で、認証されていないリモート・コード実行が可能であることが判明しました。
Jia Tan 氏は、悪意のあるパッケージを難読化するために多大な労力を費やしたようで、ビルド・プロセス中に自身を構築するようトリガーされると、systemd を介した SSHd の認証が妨害されます。Red Hatが詳述しているように、適切な状況下では、この妨害によって攻撃者が SSHd 認証を破り、システム全体へのリモートからの不正アクセスを許してしまう可能性があります。
マイクロソフト社などは、エクスプロイトのインスタンスをシステムでスキャンし、その影響を軽減するための包括的なガイダンスを公表しています。CISAが推奨する緊急の対策は、影響を受ける開発者とユーザーは、XZ UtilsをXZ Utils 5.4.6 Stableのような、問題のないバージョンにダウングレードすることです。
この種の攻撃を防ぐことは、特にオープンソースのコンポーネントをソフトウェアで利用する場合、サプライチェーンのセキュリティに対する保証と透明性がほとんどないため、非常に困難です。私たちは、ソフトウェアのサプライチェーンにおける偶発的な欠陥にはすでに対処してきましたが、このリスクは、オープンソースのセキュリティを侵害するために悪意を持って意図的に仕掛けられたセキュリティバグにまで高まっています。
ほとんどの開発者は、セキュリティに対する強い意識と健全なセキュリティ知識、そしてパラノイアを振りかけない限り、この種の攻撃を阻止することはできないでしょう。それはほとんど、脅威行為者の考え方を必要とする場合です。しかし、社内で管理されている(つまりオープンソースではない)ソースコードレポジトリを中心に、常に検討を重ねるべきである。これらは、検証された関連するセキュリティ・スキルを持つ人だけがアクセスできるようにすべきである。AppSec の専門家は、ブランチレベルのセキュリティ管理のようなセットアップを検討し、セキュリ ティスキルのある開発者だけが最終的なマスターブランチに変更をコミットできるようにする。
ボランティアメンテナーは英雄だが、安全なソフトウェアを維持するには村が必要だ。
ソフトウェア・エンジニアリングの領域外の人々にとっては、ボランティアで構成される活気あるコミュニティが、重要なシステムを自分の時間を使って丹念に保守するという概念は、理解しがたいものですが、これがオープンソース開発の本質であり、サプライチェーンを保護するセキュリティの専門家にとっては、重大なリスクの領域であり続けています。
オープンソース・ソフトウェアは、事実上すべての企業のデジタル・エコシステムの重要な一部であり、信頼できるメンテナ(そのほとんどは善意で行動している)は、技術の進歩と完全性を無私の心で追求することにおいて、本当に英雄的である。このようなDevSecOps中心の時代においては、セキュリティは共有責任であり、すべての開発者は、業務中に遭遇する可能性の高いセキュリティ問題をナビゲートするための知識と適切なツールで武装しなければならない。セキュリティ意識と実践的なスキルは、ソフトウェア開発プロセスにおいて譲れないものであるべきであり、企業レベルの変化に影響を与えるのはセキュリティリーダーにかかっている。
セキュリティ文化の 構築 ﹑徹底的な調査によって、今すぐ組織に活気あるセキュリ ティ 文化を構築する Courses Secure Code Warrior から。
始めるためのリソース
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
セキュアコード・トレーニングのトピックと内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
始めるためのリソース
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
