XZ | CVE-2024-3094
sshd 自体は liblzma を使っていないが、fedora や debian が systemd 通知の為に、openssh に systemd 対応のパッチを当ててる。libsystemd 経由で liblzma の影響を受ける。そこで liblzma が ssh の暗号デコード関数を横取りする。特定のRSA鍵で sshd の認証を素通りするバックドア。ただし、関数横取りのシンボル検索が重たいのに気づいた人がいてすぐに発見された。最新バージョンを追う Fedora とかパッケージや、Debian 開発者用パッケージへの影響で済んだ模様。
レビューをすり抜ける技術的なトリック。2年半真面目に貢献して油断させた上、第3者ペルソナを介して圧力をかけ原作者を追い込み、コミット権を得るソーシャル的な狡猾さは特筆すべき。
機関レポート
まとめ
- Everything I Know About the Xz Backdoor
- FAQ on the xz-utils backdoor
- Frequently Asked Questions About CVE-2024-3094, A Backdoor in XZ Utils
- https://twitter.com/Blankwonder/status/1773921956615877110
(DeepL.com(無料版)で翻訳)
xz-utilsパッケージに関するこの2つのサプライチェーン攻撃ノートを読み終えたところだが、攻撃者は3年間も潜んでいたようである。
要約すると
1.攻撃者であるJiaT75(Jia Tan)は2021年にGitHubアカウントにサインアップし、それ以来xzプロジェクトのメンテナンスに積極的に関与し、徐々に信頼とコードを直接コミットする権利を得ている。
2.JiaT75はここ数ヶ月の間に、あるコミットにbad-3-corrupt_lzma2.xzとgood-large_compressed.lzmaをひっそりと追加した。これは一見無害なテストバイナリのように見えたが、コンパイルスクリプトでは特定の条件下でこの2つのファイルから読み込むことでコンパイル結果が変更されていた。 しかし、ある条件下では、コンパイルスクリプトがこれら2つのファイルから読み込んでコンパイル結果を修正するため、コンパイル結果と公開されているソースコードとの間に不整合が生じる。
3.予備調査によると、注入されたコードは glibc の IFUNC を使用して OpenSSH の RSA_public_decrypt 関数をフックしており、攻撃者は特定の検証データを構築することで RSA 署名検証をバイパスすることができます。 (詳細はまだ解析中です)
4.liblzmaとOpenSSHの両方を使用するプログラムが影響を受けます。 最も直接的な標的はsshdで、攻撃者は特定のリクエストを作成することで、リモートアクセスのための鍵認証をバイパスすることができます。
5.影響を受けるxz-utilsパッケージはDebian testingにマージされており、攻撃者はfedoraとubuntuにもマージを試みている。
6.幸運なことに、注入されたコードには、特定の状況下でsshdのCPU使用率を急上昇させる何らかのバグがあるようだ。 このバグに気づいたセキュリティ研究者が陰謀を発見し、oss-securityに報告したため、事件は収束した。もしこのバグがなかったら、このバックドアがメインストリームのディストリビューションの安定版に組み込まれていた可能性はかなり高く、前代未聞の大規模なセキュリティ事件になっていただろう。
さらに、攻撃者が非常に慎重であったことを示す詳細もある:
1.攻撃者は、テスト期間中に発見されるまでの時間が短くなることを期待して、ubuntuベータ版フリーズの数日前に新バージョンを組み込もうとした。
2.xz-utilsプロジェクトのオリジナルメンテナであるLasse Collin (Larhzu)は、定期的にインターネットを中断する癖があり、最近もそうしていたため、彼がレビューする機会がなく、現在も彼と連絡を取ることができないまま変更が行われている。 これが攻撃者がxz-utilsプロジェクトを選んだ理由の一つかもしれない。
GitHubは現在、xzプロジェクト全体を閉鎖している。
- XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた
- XZ Utilsに悪意のあるコードが挿入された問題(CVE-2024-3094)について
- XZ Utilsにバックドア攻撃が行われるまでのタイムラインまとめ
コミット
犯人: "Jin Tan" <jiat0218@gmail.com>
共犯: "Jigar Kumar" (メールアドレス不明?)
- exploit code の仕込み (test ファイルだけど未使用で、明らかな仕込み)
- 5.0.6 だと backdoor がクラッシュするので調整 (スタックレイアウトがずれてた)
- https://twitter.com/birchb0y/status/1773871381890924872
Interesting note on the #xz backdoor:
If you plot Jai Tan's commit history over time, the cluster of offending commits occurs at an unusual time compared to rest of their activity.
If the dev was pwned, it could be a sign that the threat actor contributed in their own timezone
コミット圧力
Jin Tan をコミッターにするよう作者に圧力をかける Jigar Kumar
- https://www.mail-archive.com/xz-devel@tukaani.org/msg00566.html (20230922010844)
Progress will not happen until there is new maintainer. XZ for C has sparse
commit log too. Dennis you are better off waiting until new maintainer happens
or fork yourself. Submitting patches here has no purpose these days. The
current maintainer lost interest or doesn't care to maintain anymore. It is sad
to see for a repo like this.
発見の経緯
- Subject: backdoor in upstream xz/liblzma leading to ssh server compromise
解析
- Subject: backdoor in upstream xz/liblzma leading to ssh server compromise
- New XZ backdoor scanner detects implant in any Linux binary
- xz/liblzma: Bash-stage Obfuscation Explained
- The xz attack shell script
パッケージ
Amazon
Gentoo
Debian
- xz backdoor
- revert to version that does not contain changes by bad actor
Kali
https://www.kali.org/blog/about-the-xz-backdoor/
Arch Linux
https://archlinux.org/news/the-xz-package-has-been-backdoored/
homebrew
- brew install xz installs the outdated version 5.4.6 instead of 5.6.1 #5243
参考
- Urgent Alert: Stealthy Backdoor Discovered in XZ Compression Utilities
記事
- xzにバックドアが混入した件のまとめ(CVE-2024-3094)
- Red HatやDebianなどLinuxディストリビューションの組込み圧縮ツール「XZ Utils」に悪意のあるバックドアが仕掛けられていたことが発覚
- 「XZ Utils」にバックドア、オープンソースエコシステム全体の信頼を揺るがす事態に
- 広く使用されている「xz」にssh接続を突破するバックドアが仕込まれていた事が判明。重大度はクリティカルでLinuxのほかmacOSにも影響
- GitHub Disables The XZ Repository Following Today's Malicious Disclosure
- Beware! Backdoor found in XZ utilities used by many Linux distros (CVE-2024-3094)
- xzパッケージに仕込まれた3年がかりのバックドア、スケール直前に見つけたのはMicrosoftの開発者
libarchive
- Added error text to warning when untaring with bsdtar #1609
こっちでも意図的に脆弱性を入れている疑惑が出ている。
.
- xz-utilsのtarballに不正なコードが混入されていた件(backdoor)
- 広く使用されている「xz」にssh接続を突破するバックドアが仕込まれていた事が判明。重大度はクリティカルでLinuxのほかmacOSにも影響 | ソフトアンテナ
- https://twitter.com/thegrugq/status/1773827035976405003
On the .xz backdoor.
It is hard to see how the developer Jia Tan is innocent. The backdoor was added in 5.6.0 by his account. He contacted Fedora to push them to move to 5.6.0. There was a problem with valgrind, they worked with hi to resolve it. He commits the fix in 5.6.1.
- https://twitter.com/julianor/status/1774835249425350846
Juliano Rizzo
@julianor
Reverse engineering by
@amlweems
reveals 3 flaws that allows attackers to use the backdoor without the private key, using only a captured message signed for the target host:
1. Lack of replay protection
2. Symmetric encryption with a hardcoded key,
3. Partially signed commands
- The Mystery of ‘Jia Tan,’ the XZ Backdoor Mastermind
- https://www.wired.com/story/jia-tan-xz-backdoor/
At a glance, Jia Tan certainly looks East Asian—or is meant to. The time zone of Jia Tan’s commits are UTC+8: That’s China’s time zone, and only an hour off from North Korea’s. However, an analysis by two researchers, Rhea Karty and Simon Henniger, suggests that Jia Tan may have simply changed the time zone of their computer to UTC+8 before every commit. In fact, several commits were made with a computer set to an Eastern European or Middle Eastern time zone instead, perhaps when Jia Tan forgot to make the change.
"Jin Tan" は中国人に偽装した東欧or中東のエンジニアではといった推測。
関連