2025年8月12日Ravie Lakshmananマルウェア / コンテナセキュリティ
新たな調査により、Docker Hub上で悪名高いXZ Utilsバックドアを含むDockerイメージが、事件発覚から1年以上経った今も存在することが明らかになりました。
さらに懸念されるのは、これら感染したベースイメージの上に他のイメージが構築されており、感染が推移的にさらに拡大しているという事実です、とBinarly ResearchはレポートでThe Hacker Newsに伝えています。
ファームウェアセキュリティ企業である同社は、バックドアを含む合計35個のイメージを発見したと述べています。この事件は再び、ソフトウェアサプライチェーンが直面するリスクを浮き彫りにしています。
XZ Utilsのサプライチェーン事件(CVE-2024-3094、CVSSスコア:10.0)は、2024年3月下旬、Andres Freund氏がXZ Utilsバージョン5.6.0および5.6.1に埋め込まれたバックドアの警告を発したことで明るみに出ました。
悪意のあるコードおよびより広範な侵害のさらなる分析により、いくつかの驚くべき発見がもたらされました。最も重要なのは、このバックドアにより不正なリモートアクセスが可能となり、SSH経由で任意のペイロードを実行できることです。
具体的には、liblzma.soライブラリ(OpenSSHサーバーで使用)に仕込まれたバックドアは、クライアントが感染したSSHサーバーとやり取りした際に発動するよう設計されていました。
「glibcのIFUNCメカニズムを利用してRSA_public_decrypt関数を乗っ取ることで、特定の秘密鍵を持つ攻撃者が認証をバイパスし、リモートでrootコマンドを実行できるようにしていました」とBinarlyは説明しています。
2つ目の発見は、「Jia Tan」(JiaT75)という開発者が、約2年にわたりオープンソースプロジェクトに貢献して信頼を築き、メンテナー権限を得るまでになったことです。これは攻撃の綿密さを示しています。
「これは明らかに非常に複雑で高度な国家支援型の作戦であり、数年にわたる計画の成果です」と当時Binaryは指摘しました。「このような複雑かつプロフェッショナルに設計された包括的なインプラントフレームワークは、一度きりの作戦のために開発されるものではありません。」
同社の最新の調査によると、事件の影響は数か月経った今もオープンソースエコシステムに余波をもたらし続けています。
これには、XZ Utilsバックドアの1つを含む12個のDebian Dockerイメージの発見や、さらにこれらのDebianイメージを含む二次的なイメージ群の存在が含まれます。
Binarlyは、これらのベースイメージをDebianのメンテナーに報告したところ、「これらのアーティファクトを歴史的な好奇心として意図的に公開し続けている。特に、悪用には極めてあり得ない(コンテナ/コンテナイメージの利用ケースにおいて)要素が必要であるため」との回答を得たと述べています。
しかし同社は、SSHサービスが稼働する感染デバイスへのネットワークアクセスが必要という悪用条件があるにもかかわらず、ネットワーク経由で到達可能なバックドアを含むDockerイメージを公開し続けることは重大なセキュリティリスクを伴うと指摘しています。
「xz-utilsバックドア事件は、短期間しか存在しなかった悪意のあるコードであっても、公式コンテナイメージ内で長期間気付かれずに残存し、Dockerエコシステム内で拡散する可能性があることを示しています」と同社は付け加えました。
「この遅延は、こうしたアーティファクトがCIパイプラインやコンテナエコシステム内で密かに残存・拡散し続ける可能性を浮き彫りにしており、単なるバージョン管理を超えたバイナリレベルでの継続的な監視の重要性を改めて強調しています。」
翻訳元: https://thehackernews.com/2025/08/researchers-spot-xz-utils-backdoor-in.html