バックドアによる世界中の Linux システムの公開をボランティアがどのように阻止したか

世界で最も広く使用されているオープンソース オペレーティング システムである Linux は、イースターの週末に大規模なサイバー攻撃をかろうじて免れましたが、これはすべて 1 人のボランティアのおかげです。

このバックドアは、XZ Utils と呼ばれる Linux 圧縮形式の最新バージョンに含まれています。このツールは、Linux の世界以外ではほとんど知られていませんが、大きなファイルを圧縮して転送を容易にするために、ほぼすべての Linux ディストリビューションで使用されています。 もしウイルスがもっと広範囲に広がっていたら、無数のシステムが何年にもわたって脆弱なままになっていた可能性があります。

そしてとして アルス テクニカ で気づいた 包括的な概要犯人は公の場でプロジェクトに取り組んでいた。

Linux リモート ログインに導入されたこの脆弱性は、単一のキーのみにさらされていたため、公共のコンピュータのスキャンから隠れることができました。 のように ベン・トンプソンは次のように書いています。 ストラクリ。 「世界中のコンピューターの大部分が脆弱になり、誰もそれを知りません。」

XZ バックドアの発見の物語は、サンフランシスコを拠点とする Microsoft 開発者の Anders Freund 氏が Mastodon に投稿したように、3 月 29 日の早朝に始まります。 メールを送信しました OpenWall セキュリティ メーリング リストに、「xz/liblzma アップストリーム バックドアが ssh サーバー侵害につながる」というタイトルで送信します。

Linux ベースのデータベースである PostgreSQL で「スーパーバイザー」としてボランティア活動している Freund 氏は、過去数週間テストを実行中にいくつかの奇妙なことに気づきました。 XZ 圧縮ライブラリの一部である liblzma への暗号化されたログインは、大量の CPU を消費していました。 彼が使用したパフォーマンスツールはどれも何も明らかにしませんでした」とフロイント氏はマストドンに書いた。 これはすぐに彼の疑惑を引き起こし、数週間前にメモリエラーをチェックする Linux プログラム Valgrind について Postgres ユーザーから寄せられた「奇妙な苦情」を思い出しました。

いくつかの調査の後、フロイントは最終的に何が問題であるかを発見しました。 「XZ WarehouseとXZ Tar Ballsは閉店した」とフロイント氏は電子メールで述べた。 この悪意のあるコードは、xz ツールおよびライブラリのバージョン 5.6.0 および 5.6.1 に存在していました。

その直後、オープンソース ソフトウェア会社 Red Hat がメッセージを送信しました。 緊急セキュリティ警告 Fedora Rawhide および Fedora Linux 40 ユーザー向け 最終的に、同社は、Fedora Linux 40 ベータ版には、影響を受ける xz ライブラリの 2 つのバージョンが含まれていると結論付けました。 Fedora Rawhide バージョンもバージョン 5.6.0 または 5.6.1 を受け取った可能性があります。

ビジネスまたは個人的な活動での FEDORA RAWHIDE 製品の使用を直ちに中止してください。 Fedora Rawhide は間もなく xz-5.4.x にロールバックされ、これが完了すると、Fedora Rawhide インスタンスを安全に再デプロイできるようになります。

無料の Linux ディストリビューションである Debian のベータ版には、セキュリティ チームによって侵害されたパッケージが含まれていますが、 私はすぐに行動しました 彼らのもとへ戻るために。 「現時点では、影響を受ける安定版の Debian はありません」と Debian の Salvatore Bonaccorso 氏は金曜日の夜、ユーザー向けのセキュリティ警告で述べています。

Freund は後に、悪意のあるコードを送信した人物が、JiaT75 または Jia Tan として知られる 2 人の主要な xz Utils 開発者の 1 人であることを特定しました。 「この活動が数週間続いていることを考えると、加害者が直接関与していたか、システムに重大な侵害があったかのどちらかです。残念ながら、彼らがさまざまな「修正リスト」で話していたことを考えると、後者の説明は最も可能性が低いようです。 」とフロイントは著書の中で書いています。 分析JiaT75 によって作成されたいくつかのソリューションをリンクした後。

JiaT75 はよく知られた名前で、彼らはしばらくの間、.xz ファイル形式の最初の開発者である Lasse Collin と協力して働いていました。 プログラマーのロス・コックス氏が著書で指摘したように、 時刻表JiaT75は2021年10月に、一見正当なパッチをXZメーリングリストに送信し始めました。

数か月後、この計画の他の武器が明らかになり、ジガー・クマールとデニス・インセという他の2人の身元が明らかになりました。 苦情は電子メールで送信され始めました コリンに、プロジェクトの間違いと開発の遅れについて。 ただし、報道でも指摘されているように、 エヴァン・ブース その他の「クマール」と「インス」は、XZ コミュニティの外で目撃されたことがなく、捜査当局は、どちらも、ジア タンがバックドア コードを配信するために位置情報にアクセスするのを助けるためだけに存在する偽物であると考えています。

「精神的健康上の問題については残念ですが、自分の限界を認識することが重要です。「これがすべての貢献者にとって趣味のプロジェクトであることは承知していますが、コミュニティはそれ以上のことを望んでいます」とインセ氏はあるメッセージで書き、クマール氏は次のように述べた。別の「新しい監督が現れるまでは、進歩は起こらないでしょう。」

やり取りが交わされる中、コリンズさんは「興味を失ったわけではないが、長期にわたる精神的健康上の問題だけでなく、その他のこともあり、ケアする能力が多少制限されている」と書き、ジア・タンさんにもっと大きな役割を引き受けるよう示唆した。 「これは無償の趣味のプロジェクトだということも心に留めておくとよいでしょう」と彼は結論付けた。 Kumar と Ens からの電子メールは、同年後半に Tan がモデレーターとして追加されるまで続き、変更を加えて、より強力な権限でバックドア パッケージを Linux ディストリビューションに導入することを試みることができました。

xz バックドア事件とその余波は、オープンソースの美しさとインターネットのインフラストラクチャの驚くべき脆弱性の一例です。

人気のオープンソース メディア パッケージである FFmpeg の開発者は、この問題を強調しました。 ツイートで「xz の大失敗は、無給のボランティアに依存することがいかに大きな問題を引き起こす可能性があるかを示しました。数兆ドル規模の企業は、ボランティアからの無料で緊急のサポートを期待しています。彼らは、Microsoft Teams に影響を与える「優先度の高い」バグにどのように対処したかを示す領収書を持ってきました。

Microsoft が自社のソフトウェアに依存しているにもかかわらず、開発者は次のように書いている。「長期保守のために Microsoft に丁寧にサポート契約を要求したところ、代わりに数千ドルの一括支払いを提案されました…保守と持続可能性への投資は魅力的ではなく、中間管理職にはおそらく納得できないだろう」 彼の昇進のために、彼は何年にもわたって千倍もの報酬を支払うことさえあるだろう。

JiaT75 の背後に誰がいるのか、計画はどのように実行されるのか、被害の範囲などの詳細が、ソーシャル メディアとオンライン フォーラムの両方で多数の開発者とサイバーセキュリティ専門家によって明らかにされました。 しかし、これは、安全なソフトウェアを使用する機能から恩恵を受ける多くの企業や組織からの直接の財政的支援なしで実現します。