Multi-License Discount Quote
脅威データベース Vulnerability CVE-2024-3094 脆弱性 (XZ バックドア)

CVE-2024-3094 脆弱性 (XZ バックドア)

Vulnerability, BackdoorsMezoまで
翻訳内容:
日本語

セキュリティ アナリストは最近、壊滅的な影響をもたらす可能性のある重大な脆弱性を発見しました。緊急のセキュリティ勧告によると、広く使用されているデータ圧縮ツールである XZ Utils (旧名 LZMA Utils) の 2 回のバージョンが悪意のあるコードによって侵害されました。このコードにより、影響を受けるシステムへの不正なリモート アクセスが可能になります。

このセキュリティ侵害は CVE-2024-3094 として識別され、CVSS スコアは 10.0 と評価され、最高レベルの重大度を示します。 XZ Utils のバージョン 5.6.0 (2024 年 2 月 24 日にリリース) および 5.6.1 (2024 年 3 月 9 日にリリース) に影響します。

このエクスプロイトには、liblzma ビルド プロセスの高度な操作が含まれます。具体的には、ソース コード内の偽装されたテスト ファイルから、事前に構築されたオブジェクト ファイルが抽出されます。このオブジェクト ファイルは、liblzma コード内の特定の関数を変更するために使用され、侵害が永続化されます。

CVE-2024-3094 の脆弱性により、攻撃者は任意のペイロードを送信することができます

この脅威的なプロセスにより、liblzma ライブラリの修正バージョンが生成され、それを利用するソフトウェアとのデータ通信を傍受して変更できるようになります。

より正確には、ライブラリ内に埋め込まれた不正なコードは、systemd ソフトウェア スイートを通じて SSH (Secure Shell) のコンポーネントである sshd デーモン プロセスを中断するように作成されています。この操作により、特定の条件が満たされることを条件として、脅威アクターに sshd 認証を侵害し、リモートからシステムに不正にアクセスする能力が与えられる可能性があります。

CVE-2024-3094 によって導入された有害なバックドアの最終的な目的は、被害を受けたマシン上で実行されている OpenSSH サーバー (SSHD) にコードを挿入することです。これにより、特定の秘密キーを所有する特定のリモート攻撃者が SSH 経由で任意のペイロードを送信できるようになります。これらのペイロードは認証段階の前に実行され、被害を受けたシステム全体の制御を事実上掌握します。

CVE-2024-3094 脆弱性は、詐欺関連の攻撃者によって意図的に導入された可能性があります

複雑に隠蔽された悪意のあるコードは、Jia Tan (JiaT75) と呼ばれるユーザーによる GitHub 上の Tukaani プロジェクトへの 4 回のコミットを通じて統合されたようです。

数週間にわたる継続的な活動を考慮すると、コミッターが直接関与しているか、システムの重大な侵害を経験していることを示唆しています。しかし、「修正」とされるものに関してさまざまなフォーラムで彼らが関与していることを考えると、後者のシナリオはあまり現実的ではないようです。

現在 Microsoft の所有下にある GitHub は、GitHub の利用規約違反を理由に、Tukaani Project が管理する XZ Utils リポジトリを非アクティブ化するという措置を講じました。現時点では、実際の環境での積極的な悪用の報告はありません。

調査の結果、これらの侵害されたパッケージは Fedora 41 および Fedora Rawhide ディストリビューションにのみ存在することが示されています。 Alpine Linux、Amazon Linux、Debian Stable、Gentoo Linux、Linux Mint、Red Hat Enterprise Linux (RHEL)、SUSE Linux Enterprise および Leap、Ubuntu などの他の主要なディストリビューションは、このセキュリティ問題の影響を受けません。

CVE-2024-3094 バックドアの脆弱性の軽減

Fedora Linux 40 のユーザーは、5.4 ビルドに戻すことが推奨されています。さらに、次のような他のいくつかの Linux ディストリビューションもサプライ チェーン攻撃の影響を受けています。

Arch Linux (インストール メディア 2024.03.01、仮想マシン イメージ 20240301.218094 および 20240315.221711、および 2024 年 2 月 24 日から 2024 年 3 月 28 日の間に作成されたコンテナー イメージ)

  • Kali Linux (3 月 26 日から 3 月 29 日まで)
  • openSUSE Tumbleweed および openSUSE MicroOS (3 月 7 日から 3 月 28 日まで)
  • Debian テスト版、不安定版、実験版 (5.5.1alpha-0.1 から 5.6.1-1 の範囲)

この進展により、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は独自の警告を発し、XZ Utils を侵害の影響を受けないバージョン (XZ Utils 5.4.6 Stable など) に戻すようユーザーに勧告しました。

トレンド

山の壁紙ブラウザ拡張機能

望ましくない可能性のあるプログラム, Browser Hijackers
Infosec の研究者は、Mountain Wallpaper ブラウザ拡張機能を徹底的に分析し、懸念すべき発見をしました。便利だと思われていたこの拡張機能は、侵入的で望ましくないソフトウェアの一種であるブラウザ ハイジャッカーとして機能することが判明しました。 Mountain Wallpaper の主な目的は、find.pmywebsrc.com として知られる詐欺的な検索エンジンを宣...

Turla APT

Advanced Persistent Threat (APT), Malware
Turla は、Pensive Ursa、Uroburos、Snake としても知られ、ロシアを起源とする高度な持続的脅威 (APT) であり、その歴史は少なくとも 2004 年まで遡り、ロシア連邦保安局 (FSB) との関係があるとされています。標的を絞った侵入と最先端のステルス戦術で知られる Turla は、手ごわい、とらえどころのない敵としての評判を獲得しており、ひそかにステルスなサイバー攻撃を組織する際に卓越した技術的能力を発揮しています。 長年にわたり、Turla はその範囲を 45 か国以上に拡大し、政府機関、外交使節、軍事施設、教育、研究、製薬機関などの多様な分野に浸透して...

ペリメニラッパー

Malware, Advanced Persistent Threat (APT)
サイバーセキュリティ アナリストは、Pelmeni という名前の見慣れないラッパーを通じて配布された、革新的な戦略と、Kazuar トロイの木馬のパーソナライズされた適応を紹介する新たな Turla キャンペーンを発見しました。 Turlaは、ロシア連邦保安局と連携したサイバースパイ活動 APT (Advanced Persistent Threat) グループで、その細心の標的設定と揺るぎ...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
74,257
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
59,201
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Msedge.exeとは何ですか?

Issue
53,657
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...
読み込んでいます...