イースター(復活祭)の週末に、OpenSSH は liblzma ライブラリへのサプライチェーン攻撃を通じて、脅威アクターによってバックドアされました。このセキュリティ事案についてアクロニスのCISO(最高セキュリティ責任者)Kevin ReedがLinkedINでコメントしています。
これが最初のアナウンスです。
https://www.openwall.com/lists/oss-security/2024/03/29/4
ライブラリ liblzma は人気のある圧縮ユーティリティ xz の一部であり、Linux、Windows、macOS上で動く他のソフトウェアでも使用されています。他のアプリケーションの中でも、このライブラリはLinuxで最も人気のあるリモート管理スイートであるOpenSSHで間接的に使用されていると思われます。
このバックドアは、OpenSSHがこのライブラリを使用しているときにのみ作動するように注意深く設計されています。これにより、シークレットキーを知っているリモートのアタッカーは、バックドアサーバー上で最高の特権でコマンドを実行できるようになります。バックドアはまた、クライアントがシークレットキーを持っていない場合にも正常に動作するため、セキュリティ担当者がインターネット上のどれだけのサーバがバックドアされたかを特定することは不可能です。
Jia Tanという名前の開発者またはグループが、xzに数年間貢献し、何百もの変更を行い、開発コミュニティで信用を得ました。彼らはまた、xzの過去のメンテナーに、より多くの権限をJia Tanに与えるよう圧力をかけ、最終的にJia Tanがライブラリのメインメンテナーになりました。悪意のある部分は、ライブラリの補足的なテストスイートの中に巧妙に隠されており、ソースコード・レビュー中の発見を回避するのに役立っています。
ライブラリのバイナリーコードは、発見を避けるために難読化されていましたが、この難読化のために、コードの動作は遅くなりました。SSHを開始すると顕著な遅延が発生し、これがバックドアの発見を可能にしました。この遅延がなければ、バックドアは長い間気づかれることなく、多くのLinuxインストールを危険にさらしていた可能性があります。
このバックドアは、ITインフラがいかに脆弱であるか、また攻撃者がいかに多くの方法で私たちが重要なインフラを維持するために使用しているほとんどのシステムの基盤となっているオープンソースを悪用できるかを示す一例といえます。
アクロニスでは、パッチや新バージョンを本番環境に公開する前に厳密なテストを行い、既知の脆弱性に関するサイバーセキュリティのフィードを監視してからアップデートを進めることを推奨しています。
アクロニスについて
アクロニスは2003年にシンガポールで設立されたスイス企業です。アクロニスは、世界15か所のオフィスと50カ国以上で拠点を擁しており、Acronis Cyber Protectソリューションは150カ国に26言語で提供され、2万社を超えるサービスプロバイダーで利用されており75万社を超える企業を保護しています。
