多くのLinuxディストリビューションの中核コンポーネントである広く使用されているxz圧縮ユーティリティを標的とした高度な供給チェーン攻撃を研究者が発見した後、Red Hatは緊急のセキュリティ警告を発表しました。
CVE-2024-3094として追跡されるこのインシデントは、xzライブラリの最近のバージョンに埋め込まれた悪意のあるコードを含んでおり、影響を受けたシステムへの不正なリモートアクセスを可能にする可能性があります。
xzユーティリティは、大きなファイル転送を処理するためにほぼすべてのLinux環境で使用される標準的なデータ圧縮ツールです。
その広い採用のため、コードベース内のどの妥協も、エンタープライズシステムとコミュニティシステムの両方に対して大きなリスクをもたらします。
セキュリティ研究者は、xzおよびxz-libsのバージョン5.6.0および5.6.1が難読化された悪意のあるコードを含んでいることを特定しました。
このペイロードは慎重に隠蔽されており、ビルドプロセス中にのみアクティブになり、従来のソースコード検査による検出を極めて困難にしています。
攻撃は、パブリックGitリポジトリ内の欠落しているM4マクロを利用しています。リポジトリは一見きれいに見えますが、悪意のあるマクロはビルドステージ中に導入され、隠された2段階のアーティファクトと相互作用します。
これにより、ソースに明白な兆候がないまま、妥協されたバイナリが生成されます。
デプロイされると、悪意のあるコードはsystemd経由でsshdの認証プロセスに干渉します。SSHはセキュアなリモート管理に使用される主要なプロトコルであるため、この操作により攻撃者は特定の条件下で認証メカニズムをバイパスすることができます。
悪用が成功すれば、ターゲットシステムへのフルリモートアクセスが可能になります。
妥協されたパッケージは、複数の最先端のLinuxディストリビューションで特定されています:
Red Hatは、Fedora 40ベータが影響を受けるバージョンを含むことを確認しましたが、現在の評価では、悪意のあるペイロードがそれらのビルドで完全にアクティブ化されていない可能性があることを示唆しています。
重要なことに、Red Hat Enterprise Linux(RHEL)はこの脆弱性の影響を受けません。
この攻撃は、攻撃者が信頼されたオープンソースコンポーネントを標的として悪意のあるコードを下流に配布する供給チェーン脅威の増加する高度性を強調しています。
ビルドプロセスの深くに悪用を埋め込むことで、脅威アクターは従来の検出方法とコード監査を効果的にバイパスします。
SSH認証を妥協する能力は、システムの整合性と管理制御に直接影響を与えるため、問題の重大性を著しく引き上げます。
リモート管理に大きく依存する環境では、これは完全なシステム乗っ取りにつながる可能性があります。
Red Hatは、潜在的に影響を受けるすべてのユーザーに対して直ちに行動を促しています。主な緩和策は以下を含みます:
このインシデントは、特にオープンソースエコシステムにおいて、ソフトウェア供給チェーンの確保の重要性を強調しています。
広く信頼されているユーティリティでさえ、ビルドプロセスが操作されると攻撃ベクトルになる可能性があります。
組織は、より厳密なビルド検証の実装、システムプロセスの異常な動作の監視、および迅速なパッチ管理慣行の維持により、防御を強化する必要があります。
翻訳元: https://cyberpress.org/red-hat-warns-of-malware-embedded/