2024年4月2日、MicrosoftはLinuxディストリビューションを対象とした深刻なセキュリティ脆弱性CVE-2024-3094に関する指針を公開しました。この脆弱性はFedora、Kali Linux、OpenSUSE、Alpineなど多数のLinuxディストリビューションに影響を及ぼす可能性があり、世界規模での影響が懸念されています。
なお問題の詳細は「Red Hat、「xz」に仕込まれたバックドアについて警告 Fedora Linux 40の他、macOSなどにも影響」(おんかぼ)をご覧ください。
CVE-2024-3094は偶然見つかった?
この脆弱性は、SSH(セキュアシェル)ポート接続時の500ミリ秒の遅延を調査していたMicrosoftのLinux開発者、Andres Freund氏によって偶然発見されました。調査の結果、XZ Utilsに悪意を持って埋め込まれたバックドアが明らかになりました。
脆弱性の詳細
CVE-2024-3094は、XZ Utilsのバージョン5.6.0および5.6.1に影響を及ぼし、適切な秘密鍵を持つ攻撃者がSSH操作を悪用してシステムのルートアクセスを取得することを可能にする脆弱性です。このバックドアは、攻撃者がリモートから任意のコマンドを実行できるようにするための、関数解決プロセスを操作する5段階のローダーを通じて動作します。
対策と指針
Microsoftは、影響を受けるユーザにXZ Utilsの安全なバージョンへのダウングレードやMicrosoft Defender Vulnerability ManagementおよびDefender for Cloudの利用を推奨しています。QualysやBinarlyといったセキュリティ研究機関は、システムがこの脆弱性の影響を受けているかどうかを検出するためのツールを提供しています。
影響を受けるLinuxディストリビューション
この脆弱性の影響を受けるLinuxディストリビューションには、Fedora Rawhide、Fedora 41、Debianのテスト版、不安定版、実験版、openSUSE Tumbleweed、openSUSE MicroOS、Kali Linuxが含まれますが、Red Hat Enterprise Linux(RHEL)バージョンやUbuntuは影響を受けていません。
システムの確認と更新
システムがこの脆弱性の影響を受けているかを確認するためには、SSHで管理者権限を持つ状態で「xz –version」というコマンドを実行します。脆弱性のあるバージョンのXZ Utilsを使用している場合は、特に公開SSHポートを利用するシステムで、直ちにシステムの更新を行いリスクを軽減することが重要です。