OpenSSHがliblzmaライブラリへのサプライチェーン攻撃を通じて、バックドアを仕掛けられる

Acronis

イースター(復活祭)の週末に、OpenSSH は liblzma ライブラリへのサプライチェーン攻撃を通じて、脅威アクターによってバックドアされました。このセキュリティ事案についてアクロニスのCISO(最高セキュリティ責任者)Kevin ReedがLinkedINでコメントしています。

これが最初のアナウンスです。

https://www.openwall.com/lists/oss-security/2024/03/29/4

ライブラリ liblzma は人気のある圧縮ユーティリティ xz の一部であり、Linux、Windows、macOS上で動く他のソフトウェアでも使用されています。他のアプリケーションの中でも、このライブラリはLinuxで最も人気のあるリモート管理スイートであるOpenSSHで間接的に使用されていると思われます。

このバックドアは、OpenSSHがこのライブラリを使用しているときにのみ作動するように注意深く設計されています。これにより、シークレットキーを知っているリモートのアタッカーは、バックドアサーバー上で最高の特権でコマンドを実行できるようになります。バックドアはまた、クライアントがシークレットキーを持っていない場合にも正常に動作するため、セキュリティ担当者がインターネット上のどれだけのサーバがバックドアされたかを特定することは不可能です。

Jia Tanという名前の開発者またはグループが、xzに数年間貢献し、何百もの変更を行い、開発コミュニティで信用を得ました。彼らはまた、xzの過去のメンテナーに、より多くの権限をJia Tanに与えるよう圧力をかけ、最終的にJia Tanがライブラリのメインメンテナーになりました。悪意のある部分は、ライブラリの補足的なテストスイートの中に巧妙に隠されており、ソースコード・レビュー中の発見を回避するのに役立っています。

ライブラリのバイナリーコードは、発見を避けるために難読化されていましたが、この難読化のために、コードの動作は遅くなりました。SSHを開始すると顕著な遅延が発生し、これがバックドアの発見を可能にしました。この遅延がなければ、バックドアは長い間気づかれることなく、多くのLinuxインストールを危険にさらしていた可能性があります。

このバックドアは、ITインフラがいかに脆弱であるか、また攻撃者がいかに多くの方法で私たちが重要なインフラを維持するために使用しているほとんどのシステムの基盤となっているオープンソースを悪用できるかを示す一例といえます。

アクロニスでは、パッチや新バージョンを本番環境に公開する前に厳密なテストを行い、既知の脆弱性に関するサイバーセキュリティのフィードを監視してからアップデートを進めることを推奨しています。

Acronis
アクロニスCISO Kevin Reed

アクロニスのその他の情報