マイクロソフトの社員が偶然、CVE-2024-3094 XZ バックドアから Linux の世界的な崩壊を救った

本日、Microsoft は、CVE-2024-3094 として識別されている XZ Utils バックドア脆弱性に関するガイダンスとアドバイザリを発表しました。このセキュリティ上の欠陥は CVSS スコア 10.0 であり、Fedora、Kali Linux、OpenSUSE、Alpine などの多数の Linux ディストリビューションに影響を及ぼす可能性があり、世界的に重大な影響を及ぼす可能性があります。

幸運にも、Microsoft Linux 開発者の Andres Freund 氏が、ちょうどいいタイミングでこの脆弱性を発見しました。SSH (Secure Shell) ポート接続の 500 ミリ秒の遅延について興味を持った彼は、さらに調査を進め、最終的に XZ ファイル コンプレッサー内に悪意のあるバックドアが隠されていることを発見しました。

現時点で、VirtusTotal は、合計 63 社のセキュリティ ベンダーのうち、このエクスプロイトを悪意のあるものとして正確に検出しているベンダーを Microsoft を含む 4 社のみと特定しています。

したがって、この状況では、マイクロソフトのエンジニアの鋭い観察力は評価されるべきであり、他の人なら調査に時間を割くことはなかっただろう。この事件はまた、オープンソース ソフトウェアが悪意のある個人による悪用に対して脆弱であることを浮き彫りにしている。

心配な場合は、XZ Utils のバージョン 5.6.0 および 5.6.1 が侵害されていることに注意してください。米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA) は、以前の安全なバージョンを使用することを推奨しています。

推奨ガイドラインに従って、ユーザーは管理者権限で SSH で次のコマンドを実行することにより、システム上に脆弱なソフトウェアが存在するかどうかを確認できます。


xz --version

さらに、サードパーティ製のスキャンおよび検出ツールも利用可能です。セキュリティ調査会社の Qualys と Binarly は、独自の検出およびスキャナー ツールを公開しており、ユーザーは自分のシステムが影響を受けているかどうかを判断できます。

VULNSIGS の最新バージョン 2.6.15-6 が Qualys からリリースされており、脆弱性は QID (Qualys 脆弱性検出 ID) で「379548」として識別されています。

さらに、Binarly は最近、無料の XZ バックドア スキャナーをリリースしました。このツールは、XZ Utils の侵害されたバージョンを識別するように設計されており、検出されると「XZ 悪意のあるインプラント」検出通知が表示されます。

この脆弱性に関する追加の技術情報は、Binarly と Qualys の両 Web サイトで確認できます。両社とも、XZ Utils サプライ チェーン パズルと CVE-2024-3094 バックドアについて論じた記事を公開しています。