Linux系コマンド圧縮ツール「XZ Utils」中国人の開発参加者が3年がかりでバックドアを仕込むも偶然発覚「もし出回っていたらすべてのサーバが乗っ取られている」

Linux系コマンド圧縮ツール「XZ Utils」中国人が3年がかりでバックドアを仕込むも偶然発覚「もし出回っていたらすべてのサーバが乗っ取られている」

更新日:2024年03月30日

VIEW

Linux系コマンド圧縮ツール「XZ Utils」中国人が3年がかりでバックドアを仕込むも偶然発覚「もし出回っていたらすべてのサーバが乗っ取られている」

XZ Utils（以前のLZMA Utils）はフリーなコマンドライン可逆圧縮ソフトウェアのセットであり、LZMAとxzを含んでいる。Unix系オペレーティングシステムおよび、バージョン5.0以降のMicrosoft Windowsに対応している。

xzはgzipとbzip2のような代替ソフトウェアよりもより高い圧縮率になる。伸長速度はbzip2より速いが、gzipよりも遅い。圧縮はgzipよりもだいぶ遅くなることがあり、高圧縮ではbzip2よりも遅い。圧縮されたファイルが多くの回数使われるときに最も有用となる。[3][4]

XZ Utilsは大まかに2つの構成要素からなる。

xz。コマンドラインの圧縮・伸長ソフトウェア（gzipに類似している）
liblzma。zlibに似たAPIを持つライブラリ

様々なコマンドラインのショートカットがある。例えばlzma（xz --format=lzma）、unxz（xz --decompress。gunzipに類似している）、そしてxzcat（unxz --stdout。zcatに類似している）。

XZ Utilsはxzとlzmaファイル形式の両方を圧縮・伸長できるが、LZMA形式は今やレガシー[5]であるため、 XZ Utilsはxz形式をデフォルトとして圧縮する。

出典：XZ Utils - Wikipedia

刚读完了这两篇关于 xz-utils 包的供应链攻击说明，攻击者潜伏了三年，很精彩，只差一点点就可以往众多 Linux 发行版的 sshd 注入后门，可用于绕过密钥验证，后果不堪设想。
概括：
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号，之后积极参与 xz 项目的维护，并逐渐获取信任，获得了直接…
— Yachen Liu (@Blankwonder) March 30, 2024

xz-utils パッケージに関する2つのサプライチェーン攻撃についての説明を読みました。攻撃者が3年間潜伏し、多くのLinuxディストリビューションのsshdにバックドアを注入する寸前であったことがわかります。これは信じられないほどの事態です。

要約すると：

攻撃者JiaT75（Jia Tan）は2021年にGitHubアカウントを登録し、その後、xzプロジェクトのメンテナンスに積極的に参加し、徐々に信頼を得て、コードを直接コミットする権限を取得しました。
JiaT75は最近の1つのコミットで、bad-3-corrupt_lzma2.xzとgood-large_compressed.lzmaという2つの無害に見えるテスト用バイナリデータを静かに追加しました。しかし、これらのファイルから特定の条件で内容を読み取り、ビルド結果を変更するためのコンパイルスクリプトが含まれていました。これにより、ビルド結果が公開されたソースコードと一致しなくなります。
現在の初期の研究では、注入されたコードがglibcのIFUNCを使用してOpenSSHのRSA_public_decrypt関数をフックし、攻撃者が特定の検証データを構築してRSA署名検証を回避できるようにしていることが示されています。（具体的な詳細はまだ分析中です）
liblzmaとOpenSSHの両方を使用しているプログラムに影響を与えます。最も直接のターゲットはsshdであり、攻撃者は特定のリクエストを構築して、キー検証をバイパスし、リモートアクセスを可能にします。
影響を受けるxz-utilsパッケージはDebian testingに統合され、攻撃者はFedoraとUbuntuにも統合しようとしています。
幸いなことに、注入されたコードには特定の状況でsshdのCPU使用率が急上昇するバグがあるようです。これを気づいたセキュリティ研究者がいて、調査を進めてこの陰謀を発見し、oss-securityに報告したため、事態が露呈しました。
もしバグがなかったら、このバックドアは安定したバージョンに統合され、前例のない大規模なセキュリティイベントになる可能性が高かったでしょう。
また、いくつかの詳細から攻撃者が非常に注意深いことがわかります：

攻撃者は、ubuntu beta freezeの数日前に新しいバージョンを統合しようとしました。これにより、テスト中に発見される可能性が減少することを期待しています。
xz-utilsプロジェクトの元のメンテナーであるLasse Collin（Larhzu）は、定期的にインターネットを休憩する習慣があり、最近もそうしており、これらの変更をレビューする機会がなかったとされています。現在も連絡が取れない状態です。これは攻撃者がxz-utilsプロジェクトを選んだ理由の1つかもしれません。
さらなる詳細は分析中ですが、現在、GitHubはxzプロジェクト全体を停止しています。

すごい、3年がかりで xz-utils に貢献して信頼を勝ち取った上でバックドアを仕込んだらしい　エグすぎるだろ……
見つけられたのは本当に偶然としか言いようがないし、もし Ubuntu とかまで回ってたら sshd 出してる全ての公開サーバーにパスワードなしでログインできることになって怖すぎる https://t.co/87Ec26w9v9
— Torishima / INTP (@izutorishima) March 30, 2024

これさらに巧妙なのが、GitHub のコードにはバックドアを混入させるコード自体は仕込まれておらず公式サイトの tarball にしか入ってなかった上に、肝心のバックドアは liblzma が圧縮ライブラリなのを悪用してテストファイルとして Git に忍び込ませてた二段構えになってること
— Torishima / INTP (@izutorishima) March 30, 2024

xzとか、こういうの無数に存在すると思うんだよな…
CIA的な事してる人たちって、テロ組織含めて世界中に無数に存在してるし、潜伏して仕込むより貢献者にメールして買収する方が手っ取り早い。
OSSパッケージとか芋づる式の依存関係に乗っかるってのはこういうこと。 https://t.co/DpfNgBJDeI
— マダカヘリ（公式） (@MadakaHeri) March 30, 2024

これは怖い。もしバグが無かったら気付かれなかったかもしれないと思うと、背筋が寒くなりますな。 https://t.co/P0VniB8Bkm
— YUKI S (@Yu_Kisugi) March 30, 2024

xz-utilsの件、早い段階で気づいてもらえて良かった。恐ろしい。 https://t.co/2iLoWosIM5
— 河原圭佑 / Keisuke KAWAHARA (@ktansai) March 30, 2024

開発者が買収されたとかじゃなくて、虎視眈々と何年もかけて狙ってたのか... https://t.co/2a1Uvl3Inv
— まー (@tomo_masakura) March 30, 2024

これは怖すぎる。sshdにゼロデイ仕掛けられたらたまらん。。 https://t.co/WasUtef58g
— Hidemoto Nakada (@hidemotoNakada) March 30, 2024

私がちょうど北大に入学した年の春から放送が始まったNHKのドラマ『真田太平記』では、表の歴史からは見えない裏側で「草の者」（真田側に属する忍者の総称）たちが活躍するんですが、彼らは3年どころか若いうちから一生を賭けて相手の懐に飛び込んでいって情報収集活動を行うという設定でしたからね。 https://t.co/mAuELWSrvO
— 中村良幸 (Nakamura Yoshiyuki) (@nakayoshix) March 30, 2024

正規Linuxにバックドアが仕掛けられる寸前だったらしい‥OSSでも悪い奴がコミッター昇格する危うい状況 https://t.co/KMdyNyvHIr
— ↻吐龍🪫 (@ip4dragon) March 30, 2024

トンプソンのバックドアの例もあるし、ソースコードを読んでも確認できない問題もあるということhttps://t.co/frcnzdEmSZ https://t.co/MI5iEk4mam
— ヨコヤマ(横山哲也) (@yokoyamat) March 30, 2024