Top > XZ > Backdoor

XZ | CVE-2024-3094

sshd 自体は liblzma を使っていないが、fedora や debian が systemd 通知の為に、openssh に systemd 対応のパッチを当ててる。libsystemd 経由で liblzma の影響を受ける。そこで liblzma が ssh の暗号デコード関数を横取りする。特定のRSA鍵で sshd の認証を素通りするバックドア。ただし、関数横取りのシンボル検索が重たいのに気づいた人がいてすぐに発見された。最新バージョンを追う Fedora とかパッケージや、Debian 開発者用パッケージへの影響で済んだ模様。

レビューをすり抜ける技術的なトリック。2年半真面目に貢献して油断させた上、第3者ペルソナを介して圧力をかけ原作者を追い込み、コミット権を得るソーシャル的な狡猾さは特筆すべき。

機関レポート

まとめ

  • https://twitter.com/Blankwonder/status/1773921956615877110 (DeepL.com(無料版)で翻訳)

    xz-utilsパッケージに関するこの2つのサプライチェーン攻撃ノートを読み終えたところだが、攻撃者は3年間も潜んでいたようである。 要約すると

    1.攻撃者であるJiaT75(Jia Tan)は2021年にGitHubアカウントにサインアップし、それ以来xzプロジェクトのメンテナンスに積極的に関与し、徐々に信頼とコードを直接コミットする権利を得ている。
    2.JiaT75はここ数ヶ月の間に、あるコミットにbad-3-corrupt_lzma2.xzとgood-large_compressed.lzmaをひっそりと追加した。これは一見無害なテストバイナリのように見えたが、コンパイルスクリプトでは特定の条件下でこの2つのファイルから読み込むことでコンパイル結果が変更されていた。 しかし、ある条件下では、コンパイルスクリプトがこれら2つのファイルから読み込んでコンパイル結果を修正するため、コンパイル結果と公開されているソースコードとの間に不整合が生じる。
    3.予備調査によると、注入されたコードは glibc の IFUNC を使用して OpenSSH の RSA_public_decrypt 関数をフックしており、攻撃者は特定の検証データを構築することで RSA 署名検証をバイパスすることができます。 (詳細はまだ解析中です)
    4.liblzmaとOpenSSHの両方を使用するプログラムが影響を受けます。 最も直接的な標的はsshdで、攻撃者は特定のリクエストを作成することで、リモートアクセスのための鍵認証をバイパスすることができます。
    5.影響を受けるxz-utilsパッケージはDebian testingにマージされており、攻撃者はfedoraとubuntuにもマージを試みている。
    6.幸運なことに、注入されたコードには、特定の状況下でsshdのCPU使用率を急上昇させる何らかのバグがあるようだ。 このバグに気づいたセキュリティ研究者が陰謀を発見し、oss-securityに報告したため、事件は収束した。もしこのバグがなかったら、このバックドアがメインストリームのディストリビューションの安定版に組み込まれていた可能性はかなり高く、前代未聞の大規模なセキュリティ事件になっていただろう。

    さらに、攻撃者が非常に慎重であったことを示す詳細もある:

    1.攻撃者は、テスト期間中に発見されるまでの時間が短くなることを期待して、ubuntuベータ版フリーズの数日前に新バージョンを組み込もうとした。
    2.xz-utilsプロジェクトのオリジナルメンテナであるLasse Collin (Larhzu)は、定期的にインターネットを中断する癖があり、最近もそうしていたため、彼がレビューする機会がなく、現在も彼と連絡を取ることができないまま変更が行われている。 これが攻撃者がxz-utilsプロジェクトを選んだ理由の一つかもしれない。

    GitHubは現在、xzプロジェクト全体を閉鎖している。

コミット

犯人: "Jin Tan" <jiat0218@gmail.com> 共犯: "Jigar Kumar" (メールアドレス不明?)

  • https://twitter.com/birchb0y/status/1773871381890924872

    Interesting note on the #xz backdoor: If you plot Jai Tan's commit history over time, the cluster of offending commits occurs at an unusual time compared to rest of their activity. If the dev was pwned, it could be a sign that the threat actor contributed in their own timezone

https://pbs.twimg.com/media/GJ4LpvJWMAALST3?format=jpg&name=small#.jpg

コミット圧力

Jin Tan をコミッターにするよう作者に圧力をかける Jigar Kumar

  • https://www.mail-archive.com/xz-devel@tukaani.org/msg00566.html (20230922010844)

    Progress will not happen until there is new maintainer. XZ for C has sparse commit log too. Dennis you are better off waiting until new maintainer happens or fork yourself. Submitting patches here has no purpose these days. The current maintainer lost interest or doesn't care to maintain anymore. It is sad to see for a repo like this.

発見の経緯

https://pbs.twimg.com/media/GJ5BW-xbEAAnlQH?format=png&name=small#.png

  • https://twitter.com/r_shioya/status/1774015780868571353

    攻撃で目的となる関数をフックするために(多分),シンボルテーブルの解析をやってて,これが重かったみたいです

    If the above decides to continue, the code appears to be parsing the symbol tables in memory. This is the quite slow step that made me look into the issue.

解析

パッケージ

Amazon

Gentoo

Debian

Kali

https://www.kali.org/blog/about-the-xz-backdoor/

Arch Linux

https://archlinux.org/news/the-xz-package-has-been-backdoored/

homebrew

参考

記事

  • 広く使用されている「xz」にssh接続を突破するバックドアが仕込まれていた事が判明。重大度はクリティカルでLinuxのほかmacOSにも影響

libarchive

こっちでも意図的に脆弱性を入れている疑惑が出ている。

.

  • https://twitter.com/thegrugq/status/1773827035976405003

    On the .xz backdoor.

    It is hard to see how the developer Jia Tan is innocent. The backdoor was added in 5.6.0 by his account. He contacted Fedora to push them to move to 5.6.0. There was a problem with valgrind, they worked with hi to resolve it. He commits the fix in 5.6.1.

  • https://twitter.com/mitarashiponta/status/1773977591973871709

    みたらしJP1 @mitarashiponta xz-utilsの件、AWSからコメント出てた 要約すると・・・

    ・Amazon LinuxやBottlerocketユーザーは影響を受けず、対応は不要
    ・AWSインフラやサービスは影響を受けない
    ・他のOSを使用しているユーザーは、OSベンダーが提供する情報を参照して対処する必要あり
  • https://twitter.com/julianor/status/1774835249425350846

    Juliano Rizzo @julianor Reverse engineering by @amlweems

    reveals 3 flaws that allows attackers to use the backdoor without the private key, using only a captured message signed for the target host:

    1. Lack of replay protection 2. Symmetric encryption with a hardcoded key, 3. Partially signed commands

  • The Mystery of ‘Jia Tan,’ the XZ Backdoor Mastermind
    • https://www.wired.com/story/jia-tan-xz-backdoor/

      At a glance, Jia Tan certainly looks East Asian—or is meant to. The time zone of Jia Tan’s commits are UTC+8: That’s China’s time zone, and only an hour off from North Korea’s. However, an analysis by two researchers, Rhea Karty and Simon Henniger, suggests that Jia Tan may have simply changed the time zone of their computer to UTC+8 before every commit. In fact, several commits were made with a computer set to an Eastern European or Middle Eastern time zone instead, perhaps when Jia Tan forgot to make the change.

"Jin Tan" は中国人に偽装した東欧or中東のエンジニアではといった推測。

https://pbs.twimg.com/media/GJ7R8XDWUAALFG_?format=png&name=small#.png

関連


Reload   Diff   Front page List of pages Search Recent changes Backup Referer   Help   RSS of recent changes
Last-modified: Sun, 07 Apr 2024 23:19:23 JST (49d)