xzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)

03/29/2024にxzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)が公開されました。Fedora Linux 40beta, Fedora rawhide, Debian unstable等の一部のOpenSSHにも使われており、バックドアを利用してログインが出来る状態だったという話も出ています。ソフトウェアサプライチェーン攻撃の一つとも捉えられており、いずれSBOMと関係する話として取り上げられると思います。

（SBOMの話、VEXの話はこちら）。

今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

【04/01/2024 09:45更新】情報が纏まっているサイトを更新しました。また、piyologさんからリンクを貼っていただいていたので、こちらも載せています。その他、「xz –version」を実行するのもだめという話が流れていましたが、今の所根拠が不明瞭なので「xz –versionを実行するのは安全のためやめて下さい」にとどめておきます。

【03/31/2024 16:50更新】各ニュースソース・ディストリビューション・団体などのリンクを追加しました。また、現時点で影響を受けるとわかっている製品の情報を追加しました。

【03/31/2024 08:50更新】03/31現在も一次情報のoss-security MLで議論が行われています（これを更新している最中も1時間に3本はメールが飛んでいて情報交換が行われています）。そのため、「確定した情報」を得たいユーザは、少なくとも週明けまで待ったほうが良いと思われます。

関連情報（逐次更新）

• もとのバックドアが入ったgithubレポジトリ（tukaani-projectのもの）は、現在閉じられている状態で接続できません。
• 今回のバックドアに関して、各ステージごとにどういう動きをしているかを追いかけている纏め（英語）がこちらにあります。
  • https://gynvael.coldwind.pl/?lang=en&id=782
• こちらの備忘録も色々参考リンクが纏まっています。
  • https://gunshot.hatenablog.com/entry/20240330/1711776136
• バックドアはオープンしている状態ではなくRCEだった、という情報もあり、情報が錯綜している状態です。
• 時系列は下記のサイトが（ソーシャルハックとして）わかりやすく纏まっています。どうやら「Jia Tan (jiat75, Jia Cheong Tan, jiat0218@gmail[.]com)」というユーザがマルウェア混入に関わっている様ですが、いろいろなペルソナを使い分けてコミットへの圧力を掛けた様に見えますね。
  • https://boehs.org/node/everything-i-know-about-the-xz-backdoor
• 日本語だと、piyokangoさんの記事が詳しく纏まっています。
  •  XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた
• 他にも、逐次情報として、こちらの情報が有用です。かなり頻繁に更新されています。
  • https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27#file-xz-backdoor-md

xzのバージョン確認方法

• 「xz –version」を実行するのもだめ、という情報が流れています。ただ、こちらは情報元と思われるツイートを遡っても「マルウェアにやられたバイナリをバージョン確認としても実行するのは駄目だろ」以上の話が見えなかったので、今のところは「安全のため、確認したい場合には”xz –version”ではなく、rpmやapt等のパッケージ管理ツールを使用して下さい」のレベルだと思います。ソースから入れてる人は、ソースを見る感じかな。
• こちらによると、パッケージ管理ツール以外（ソースから入れてるとか）では、下記のようなバージョン確認が推奨です（xzのパスは環境に合わせて調整して下さい）。
  • strings /usr/local/bin/xz | grep “(XZ Utils)”
  • strings `which xz` | grep “(XZ Utils”

各団体・ニュース等

• piyolog
  • XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた
• OpenSSF
  • h​t​t​p​s​:​/​/​o​p​e​n​s​s​f​.​o​r​g​/​b​l​o​g​/​2​0​2​4​/​0​3​/​3​0​/​x​z​-​b​a​c​k​d​o​o​r​-​c​v​e​-​2​0​2​4​-​3​0​9​4​/
• CISA
  • h​t​t​p​s​:​/​/​w​w​w​.​c​i​s​a​.​g​o​v​/​n​e​w​s​-​e​v​e​n​t​s​/​a​l​e​r​t​s​/​2​0​2​4​/​0​3​/​2​9​/​r​e​p​o​r​t​e​d​-​s​u​p​p​l​y​-​c​h​a​i​n​-​c​o​m​p​r​o​m​i​s​e​-​a​f​f​e​c​t​i​n​g​-​x​z​-​u​t​i​l​s​-​d​a​t​a​-​c​o​m​p​r​e​s​s​i​o​n​-​l​i​b​r​a​r​y​-​c​v​e​-​2​0​2​4​-​3​0​9​4
• Tenable
  • h​t​t​p​s​:​/​/​w​w​w​.​t​e​n​a​b​l​e​.​c​o​m​/​b​l​o​g​/​f​r​e​q​u​e​n​t​l​y​-​a​s​k​e​d​-​q​u​e​s​t​i​o​n​s​-​c​v​e​-​2​0​2​4​-​3​0​9​4​-​s​u​p​p​l​y​-​c​h​a​i​n​-​b​a​c​k​d​o​o​r​-​i​n​-​x​z​-​u​t​i​l​s
• Arstechnical
  • h​t​t​p​s​:​/​/​a​r​s​t​e​c​h​n​i​c​a​.​c​o​m​/​s​e​c​u​r​i​t​y​/​2​0​2​4​/​0​3​/​b​a​c​k​d​o​o​r​-​f​o​u​n​d​-​i​n​-​w​i​d​e​l​y​-​u​s​e​d​-​l​i​n​u​x​-​u​t​i​l​i​t​y​-​b​r​e​a​k​s​-​e​n​c​r​y​p​t​e​d​-​s​s​h​-​c​o​n​n​e​c​t​i​o​n​s​/
• DarkReading
  • h​t​t​p​s​:​/​/​w​w​w​.​d​a​r​k​r​e​a​d​i​n​g​.​c​o​m​/​v​u​l​n​e​r​a​b​i​l​i​t​i​e​s​-​t​h​r​e​a​t​s​/​a​r​e​-​y​o​u​-​a​f​f​e​c​t​e​d​-​b​y​-​t​h​e​-​b​a​c​k​d​o​o​r​-​i​n​-​x​z​-​u​t​i​l​s
• TheRegister
  • h​t​t​p​s​:​/​/​w​w​w​.​t​h​e​r​e​g​i​s​t​e​r​.​c​o​m​/​2​0​2​4​/​0​3​/​2​9​/​m​a​l​i​c​i​o​u​s​_​b​a​c​k​d​o​o​r​_​x​z​/

各ディストリビューション・アプリ・開発コミュニティの情報

• Red Hat/Fedora
  • h​t​t​p​s​:​/​/​w​w​w​.​r​e​d​h​a​t​.​c​o​m​/​e​n​/​b​l​o​g​/​u​r​g​e​n​t​-​s​e​c​u​r​i​t​y​-​a​l​e​r​t​-​f​e​d​o​r​a​-​4​1​-​a​n​d​-​r​a​w​h​i​d​e​-​u​s​e​r​s
  • h​t​t​p​s​:​/​/​a​c​c​e​s​s​.​r​e​d​h​a​t​.​c​o​m​/​s​e​c​u​r​i​t​y​/​c​v​e​/​C​V​E​-​2​0​2​4​-​3​0​9​4
• Alpine Linux
  • h​t​t​p​s​:​/​/​s​e​c​u​r​i​t​y​.​a​l​p​i​n​e​l​i​n​u​x​.​o​r​g​/​v​u​l​n​/​C​V​E​-​2​0​2​4​-​3​0​9​4
• Debian
  • h​t​t​p​s​:​/​/​s​e​c​u​r​i​t​y​-​t​r​a​c​k​e​r​.​d​e​b​i​a​n​.​o​r​g​/​t​r​a​c​k​e​r​/​C​V​E​-​2​0​2​4​-​3​0​9​4
• FreeBSD
  • h​t​t​p​s​:​/​/​l​i​s​t​s​.​f​r​e​e​b​s​d​.​o​r​g​/​a​r​c​h​i​v​e​s​/​f​r​e​e​b​s​d​-​s​e​c​u​r​i​t​y​/​2​0​2​4​-​M​a​r​c​h​/​0​0​0​2​4​8​.​h​t​m​l
• ArchLinux
  • h​t​t​p​s​:​/​/​s​e​c​u​r​i​t​y​.​a​r​c​h​l​i​n​u​x​.​o​r​g​/​C​V​E​-​2​0​2​4​-​3​0​9​4
• AWS
  • h​t​t​p​s​:​/​/​a​w​s​.​a​m​a​z​o​n​.​c​o​m​/​s​e​c​u​r​i​t​y​/​s​e​c​u​r​i​t​y​-​b​u​l​l​e​t​i​n​s​/​A​W​S​-​2​0​2​4​-​0​0​2​/
• Apache Project
  • https://security.apache.org/blog/cve-2024-3094/

影響があるとされるディストリビューション・製品

以下のディストリビューション・製品は影響があるとされています。

• Fedora Linux (40beta, Rawhide)
• Kali Linux (between March 26 and 29)
• openSUSE Tumbleweed and openSUSE MicroOS (between March 7 and 28)
• Debian testing, unstable, and experimental versions (from 5.5.1alpha-0.1 to 5.6.1-1)

CVSS/プライオリティ

• CVE-2024-3094
  • 影響するバージョン
    • 5.6.0以降のxz
  • 一次情報源
    • backdoor in upstream xz/liblzma leading to ssh server compromise
  • Priority
    • Red Hat: 10.0 Critical
  • CVSS Score / CVSS Vector
    • Red Hat: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3094
• 悪意のあるコードの混入
• xzのtarアーカイブで、アップストリームバージョンの5.6.0以降に悪意のあるコードが混入されていることがわかりました。liblzmaビルドプロセスにおいて複雑な難読化を用いてソースコード内の偽装テストファイルからビルド済みオブジェクトファイルを抽出します。このファイルは、liblzmaコード内の特定の関数を変更するために使用されます。 これにより、改変されたliblzmaライブラリが作成され、このライブラリにリンクされた任意のソフトウェアで使用できるようになり、このライブラリとのデータのやりとりを傍受・変更することができます。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • https://security-tracker.debian.org/tracker/CVE-2024-3094
• Red Hat Enterprise Linux/CentOS/Rocky Linux/Alma Linux
  • https://access.redhat.com/security/cve/CVE-2024-3094
• Ubuntu
  • https://ubuntu.com/security/CVE-2024-3094
• SUSE/openSUSE
  • https://www.suse.com/security/cve/CVE-2024-3094.html

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

• backdoor in upstream xz/liblzma leading to ssh server compromise