Red Hatは、人気のあるxz圧縮ユーティリティを標的とした高度なサプライチェーン攻撃に関する緊急のセキュリティアラートを発表しました。
サイバーセキュリティ研究者は、xzライブラリの最近のバージョンに埋め込まれた悪意のあるコードを発見しました。これは脅威アクターに影響を受けたLinuxシステムへの不正なリモートアクセスを与える可能性があります。
エクスプロイトの技術的分析
- この脆弱性はCVE-2024-3094として追跡されています。
- 侵害されたツールには、汎用データ圧縮フォーマットであるxzおよびxz-libsが含まれます。
- 悪意のあるコードはバージョン5.6.0および5.6.1に活発に存在しています。
- セキュリティチームは、安全なバージョン5.4.xにリバートすることを推奨しています。
- 現在、影響を受けるディストリビューションにはFedora Rawhide、Fedora 40 Beta、Debian不安定版(Sid)、およびopenSUSEが含まれます。
- 主な脅威は、SSHバイパスを介した不正なリモートシステムアクセスを含みます。
xzユーティリティは、大規模なファイル転送を管理するために、ほぼすべてのコミュニティおよび商用Linuxディストリビューションで使用されている基本的なデータ圧縮フォーマットです。
悪意のある挿入は、ライブラリのバージョン5.6.0および5.6.1を特に標的としています。脅威アクターはペイロードを大きく難読化し、完全なエクスプロイトが公式ダウンロードパッケージ内でのみアセンブルされることを保証しています。
プライマリGitリポジトリには、悪意のあるコードのビルドをトリガーするために必要な特定のM4マクロが不足しており、標準的なソースコードレビューから脅威を効果的に隠しています。
ビルド時に、悪意のあるM4マクロが存在する場合、Gitリポジトリに隠された第2段階のアーティファクトと相互作用して、侵害されたビルドをコンパイルします。
正常にデプロイされると、この悪意のあるビルドはsystemdを介したsshdの認証に積極的に干渉します。
SSHは安全なリモートシステム管理の標準プロトコルとして機能するため、この干渉は非常に重大です。
適切な状況下では、悪意のあるアクターはこの修正された動作を利用してSSH認証プロトコルを破壊し、最終的にシステム全体への完全で不正なリモートアクセスを取得できます。
範囲と緩和戦略
現在の調査では、侵害されたパッケージがRed Hatコミュニティエコシステムに直接影響を与えることが確認されており、特にFedora 40ベータおよびFedora Rawhideを実行しているユーザーに影響を与えます。
Fedora Linux 40ベータには2つの影響を受けたライブラリバージョンが含まれていますが、Red Hatは現在、悪意のあるコード挿入がこれらの特定のビルドで完全に機能しなかったと考えています。
重要なことに、Red Hatはこの脆弱性の影響を受けるRed Hat Enterprise Linux(RHEL)のバージョンはないことを確認しています。
システム管理者は、環境を保護するための即座の防御的措置を講じる必要があります。
Red Hatは、システムが保護されるまで、個人用および業務用の両方の活動でFedora Rawhideインスタンスのすべての使用を完全に停止することをユーザーに強く勧めます。
影響を受けるすべてのユーザーは、xzインストールを安全なバージョン5.4.xに直ちにダウングレードする必要があります。
Red Hatは、標準システムアップデートフレームワークを通じてFedora Linux 40ユーザー向けにパッケージをリバートするアップデートを公開しました。そして、懸念のある管理者はこのアップデートを手動で強制して保護を加速できます。
翻訳元: https://gbhackers.com/red-hat-warns-of-malware-embedded-in-popular-linux-tool/
