出典: Mitja Mladkovic(Alamy Stock Photo経由)
昨年発見された悪名高いXZ Utilsバックドアは、まだ少し生き残っているかもしれません。
Binarlyは8月12日、XY Utilsバックドアに関する調査結果を公開しました。 悪名高い事件で、”Jia Tan”として知られる開発者が2年間にわたりオープンソースのロスレスデータ圧縮ツールXZ Utilsの開発で信頼と信用を築いた後、プロジェクトに悪意のあるLinuxバックドアを仕込んだというものです。このバックドアの存在が昨年3月に明らかになると、サプライチェーンに大きな影響を及ぼしました。XZ Utilsはソフトウェア開発で広く使われているためです。
このバックドアにはCVE-2024-3094という指定がされ、CVSSスコアは10(最高値)となりました。多くの影響は迅速な防御側や公共部門、リポジトリの対応(および影響を受けたXZバージョンの展開が遅かったこと)により緩和されましたが、このバックドアは非常に危険と見なされていました。さらに、Debian、Fedora、OpenSUSEによってバックドアを含むパッケージが意図せず配布され、その後ロールバックされました。
しかし、バックドアの痕跡のほとんどは消されたものの、Binarlyの最新の調査結果によれば、痕跡がまだ残っているようです。
XZ Utilsバックドアの痕跡
Binarlyの研究者によると、「侵害が発生した時期に作成された複数のDockerイメージにバックドアが含まれており、その一部は今もコンテナイメージライブラリDocker Hubで入手可能です。」
バックドアの検索は網羅的ではありませんでしたが、研究者はDocker Hub上でバックドアを含むDebianイメージを35件特定しました。その内訳はDockerイメージ12件と二次イメージ23件です。
「これは少ない数のように思えるかもしれませんが、私たちはDockerHubに公開されているイメージのごく一部しかスキャンしておらず、二次イメージまでで止めました。さらに、Docker Hub上で履歴データが保持されているDebianイメージのみに注目しました」とBinarlyは述べています。「XZ Utilsバックドアの影響を受けたFedora、OpenSUSE、その他ディストリビューションのDockerイメージへの影響は現時点では不明です。」
Binarlyは影響を受けたイメージの削除を求めるリクエストをDebianのメンテナに送りました。ある開発者によると、「これらのアーティファクトは歴史的な好奇心として意図的に残す選択をしました。特に、悪用には以下のような極めてあり得ない(コンテナ/コンテナイメージの利用ケースにおいて)要素が必要だからです。」開発者の「tianon」は、イメージの利用には古いタグの使用、コンテナ内でのシステムの実行、コンテナ内でのSSHサーバの実行が必要だと述べています。そのため、これらのイメージは引き続き利用可能です。
Binarlyはこの回答に「部分的にしか」同意しておらず、「ネットワーク経由で到達可能なバックドアを含むDockerイメージを公開したままにしておくことは重大なセキュリティリスクをもたらす」と述べています。
「たとえこの問題の実際の影響がある程度限定的であっても、悪用にはバックドアの鍵所有者が感染デバイスまたはSSHサービスが稼働しているコンテナへのネットワークアクセスを持つ必要があるためです」と研究者は述べています。「それでもなお、私たちの発見は、短期間しか存在しなかったバックドア付きビルドであっても、コンテナレジストリ内で長期間気付かれずに残り続ける可能性があることを浮き彫りにしています。」
防御側への教訓
ここでの主な教訓は、BinarlyとDebianが一致している点ですが、ユーザーは必ず最新のイメージのみを利用すべきだということです。
Dark ReadingはDockerにコメントを求めて連絡しました。これに対し、同社は以下の声明を提供しました:
「セキュリティはDockerにとって最優先事項であり、脆弱性の報告は真剣に受け止めています。問題となっているイメージは、バックドアの影響を受けたxz-utilsのバージョンを含む、古いDebian開発ビルドに関連しています。
「悪意のあるコードはDebianの開発トラックのみに存在し、公式リリースには含まれていなかったことに注意が必要です。さらに、攻撃ベクトルは非常に標的型であり、一般的な適用性は低く、HeartbleedやShellshockのような広く知られた脆弱性よりもはるかに限定的でした。最後に、これらのイメージは本番利用を意図したものではなく、何年も前から古くなっています。
「要するに、影響を受けたイメージは古いDebian開発ビルドであり、本番環境向けのリリースではなく、非常に限定的な適用性を持つ標的型バックドアが含まれていました。これらのイメージの古さ、リスクの狭さ、本番利用されていないことを踏まえ、歴史的・研究目的で残しています。常に、本番環境では最新でメンテナンスされているイメージのみを使用することを推奨します。」