CVE-2024-3094 分析: XZ Utils バックドアを使用した多層サプライチェーン攻撃が主要なLinuxディストリビューションに影響

サイバーセキュリティの専門家たちは、最も広く使用されているLinuxディストリビューションに暗雲をもたらしたサプライチェーン攻撃が継続する中、警戒を続けています。その規模と複雑さは、 Log4j and SolarWindsのような悪名高い事件を思い起こさせるもので、この新たな脅威は裏口を仕込まれたXZ Utils（旧LZMA Utils）から発生しています。XZ Utilsはほぼすべての主要なLinuxディストロに存在する重要なデータ圧縮ユーティリティです。この画期的な脅威に注目を集めるため、巧妙なバックドアには、CVE-2024-3094という脆弱性識別子が与えられ、重大度評価は10.0とされています。

XZ Utils バックドア：Linuxサプライチェーン攻撃

重大なソフトウェアサプライチェーンの妥協には、2つの広く使用されているXZ Utilsデータ圧縮ライブラリのバージョンが密かにバックドアを仕込まれていることが含まれます。このバックドアは、遠隔の攻撃者がセキュアシェル（sshd）認証を回避し、被害に遭ったシステムに完全なアクセスを得ることを可能にします。この綿密に実行された数年にわたる攻撃は、メンテイナー・レベルのアクセスを持つ個人が故意にバックドアを導入したことを示唆しています。

マイクロソフトのソフトウェアエンジニアであるAndres Freundは、3月下旬にこの疑わしい誤設定を検出しました。 彼は 2024年2月に発行されたXZ Utilsバージョン5.6.0のtarballダウンロードパックに悪意のある文字列が注入されていたと主張しています。その直後に、5.6.1では、脅威行為者がこの悪意のあるコードを改良し、更に難読化を増し、構成のいくつかのエラーを修正しました。

Freund氏は、悪意のあるコードが一連のソースコードコミットを通じて密かに統合されていると述べています。 Tukaaniプロジェクト はGithub上で今年初めにJia Tan (JiaT75)として特定された個人によって行われました。GitHub上のTukaaniプロジェクトのXZ Utilsリポジトリは、既に違反のため無効化されています。

現時点では、影響を受けたXZ Utilのバージョンは、不安定版およびベータ版のみにしか登場していません。 Fedora, Debian, Kali, openSUSE、そして Arch Linux ディストリビューションにおいてです。Debianと Ubuntu は、安定版には妥協されたパッケージが含まれていないことを確認しており、ユーザーの安全を確保しています。さらに、Amazon Linux、Alpine Linux、Gentoo Linux、およびLinux Mintは、バックドアのインシデントには影響を受けないと主張しています。

XZ Utilsは、多数のLinuxディストリビューション内で重要なコンポーネントとしてだけでなく、さまざまなライブラリの基本的な依存関係としても機能します。このサプライチェーン攻撃の影響は、ソフトウェアエコシステム全体に広がります。しかし、バックドアは安定したLinuxディストロには回らなかったため、考えられる結果はかなり限定されています。

CVE-2024-3094 緩和策：XZ Utilsバックドアに関連するリスクを軽減

主要なLinuxディストリビューションのメンテイナーによって提供される各アドバイザリー（上記参照）には、妥協されたXZ Utilバージョンがコードベースに存在するかどうかを迅速に検出するためのユーザー向けのガイダンスが含まれています。Red Hatは対策を講じ、XZを以前のバージョンに戻すアップデートをリリースし、通常の更新チャネルを通じて配信する計画です。しかし、潜在的な攻撃を心配するユーザーは、アップデートプロセスを迅速化することが選択肢としてあります。

CISA は、影響を受けたLinuxディストリビューションを利用している組織に対して、XZ Utilsを以前のバージョンに戻すように促しています。彼らは、バックドアに関連する疑わしい活動の兆候を注意深く検索し、その発見をサイバーセキュリティコミュニティと迅速に共有することの重要性を強調しています。

上記を要約すると、緩和策には次の基本を含めるべきです：

• 関連するアドバイザリーに基づいて安全なバージョンにXZ Utilパッケージをダウングレード（またはアップグレード）すること；
• 外部SSHアクセスのブロック；
• ネットワークセグメンテーション。

さらに、XZバックドアの実行に関連する可能性のある悪意のある活動を見つけ出すため、SOC Prime TeamはArnim Rupp、Nasreddine Bencherchali、Thomas Patzkeとともに、関連するSigmaルールをSOC Primeプラットフォームで利用可能にしました。

モダンLinuxディストロにおけるSSHD接続を介したSHインタープリターの疑わしい実行（cmdline経由）

CVE-2024-3094の潜在的な悪用 – 疑わしいSSH子プロセス

両方のルールは、特定の実行ユーザーを持つSSHプロセス（sshd）の潜在的に疑わしい子プロセスを検出するのに役立ち、CVE-2024-3094に関連している可能性があります。このルールは、28のSIEM、EDR、XDR、およびデータレイク技術と互換性があり、包括的な脅威インテリジェンスで強化されています。

SOC Primeの集団的サイバー防御プラットフォームは、攻撃者のTTPsを検出するための行動ベースの検出アルゴリズムの世界最大のコレクションを提供し、革新的な脅威ハンティングと検出エンジニアリングソリューションを利用してSOC業務を合理化するために作成されました。攻撃者に先んじて、SOC Primeに依存して悪名高い脅威を積極的に検出しましょう。詳しくは、 https://socprime.com/.