Red Hatが緊急警告、XZ UtilsにCVSS 10.0の脆弱性 悪意あるコードが挿入か:セキュリティニュースアラート
Red Hatは最新バージョンのXZ Utilsに不正アクセスを意図する悪意あるコードが含まれていると発表した。この脆弱性はバージョン5.6.0および5.6.1に存在しCVSSスコアは「10.0」と評価されている。
Red Hatは2024年3月29日(現地時間、以下同)、最新バージョンの「XZ Utils」に不正アクセスを意図した悪意あるコードが含まれていたと伝えた。
CVSS v3スコア「10.0」 複数のLinuxディストリビューションに深刻な影響
悪意あるコードはXZ Utilsのバージョン5.6.0および5.6.1に含まれているとされており、「CVE-2024-3094」として特定されている。共通脆弱性評価システム(CVSS) v3のスコア値は「10.0」で深刻度「緊急」(Critical)に分類されている。
XZ Utilsはファイルの圧縮や解凍を実行するツールだ。効率的な圧縮アルゴリズムを提供しており、複数のLinuxディストリビューションなどで採用されている。
Red Hatによると、XZ Utilsのバージョン5.6.0および5.6.1には悪意あるコードが難読化された状態で仕込まれており、特定条件下のビルドにおいてライブラリーの関数を悪意あるコードに変更する処理が仕込まれている。そのビルドを使った場合にはsystemdを介したsshd認証の妨害が可能になる。
Red Hatは「Fedora Linux 40」と「Fedora Rawhide」のユーザーがシステムアップデートのタイミングで脆弱(ぜいじゃく)性を含んだバージョンを受け取った可能性があるとしている。同社はそれぞれのユーザーに対して以下の対策を推奨した。
- Fedora Linux 40: XZ Utilsを5.4にダウングレードする必要がある。「FEDORA-2024-d02c7bb266 ― unspecified update for perl-Compress-Raw-Lzma and xz ― Fedora Updates System」の指示に従って更新することが望まれる
- Fedora Rawhide: 仕事や個人的な活動のためのFedora Rawhideインスタンスの使用を中止する。Fedora Rawhideは間もなくXZ Utils 5.4.xに差し戻されるため、その後は安全に再デプロイできる
Red Hatは2024年3月30日に情報をアップデートし、Fedora Linux 40 β版に同脆弱性の影響を受ける次の2つのxzライブラリーが含まれていることを確認した。
- xz-libs-5.6.0-1.fc40.x86_64.rpm
- xz-libs-5.6.0-2.fc40.x86_64.rpm
Palo Alto Networksは2024年3月30日、Red Hatが報じた上記の脆弱性情報を取り上げ、影響を受けるLinuxディストリビューション情報として次の項目を挙げている。
- Red Hat: Fedora Linux 40、Fedora Rawhide
- Debian: Debian testing/unstable/experimental 5.5.1alpha-0.1から5.6.1-1までのバージョン
- Kali: 2024年3月26日〜2024年3月29日まで
- OpenSUSE: OpenSUSE TumbleweedおよびOpenSUSE Micro OS 2024年3月7日〜2024年3月28日まで
- Apline: 5.6.1-r2以前の5.6.x系バージョン
- Arch: インストールメディア2024.03.01、仮想マシンイメージ20240301.218094および20240315.221711、2024年2月24日から2024年3月28日の間に作成されたコンテナイメージ
本件については米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)も「Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 | CISA」において注意喚起している。
関連記事
- バックアップが被害を受けたら復旧コストは8倍に ランサムウェア影響調査で判明
Sophosは2023年にランサムウェアの被害に遭っ他企業のITやセキュリティ専門家に調査した結果を公表した。バックアップが侵害されると組織の身代金支払いの可能性が約2倍に増加し、復旧費用も8倍に跳ね上がることが示されている。 - PyPIにマルウェアキャンペーン 悪意あるパッケージのダウンロードに注意
PyPIは新しいプロジェクトの作成および新規ユーザー登録を一時停止した。この措置はマルウェアアップロードキャンペーンに対応するためで、Checkmarxが複数の悪意あるパッケージの調査結果を公表している。 - ビジネスメール詐欺は国境を越えた 調査から判明した日本企業の課題
日本プルーフポイントはFBIが発表したインターネット犯罪レポート「2023 Internet Crime Report」を解説した。投資詐欺が最大の脅威であり、ビジネスメール詐欺が2番目に大きい被害をもたらしていると報告している。 - 日本企業はソーシャルエンジニアリング攻撃への意識が低い 実態調査で判明
KnowBe4 Japanは日本やオーストラリア、シンガポールのIT意思決定者を対象にした実態調査の結果を発表し、日本がソーシャルエンジニアリング攻撃に対するセキュリティ意識向上の取り組みに消極的であることを明らかにした。
関連リンク
- CVE-2024-3094
- FEDORA-2024-d02c7bb266 ― unspecified update for perl-Compress-Raw-Lzma and xz ― Fedora Updates System
- Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 | CISA
- Threat Brief: XZ Utils Vulnerability (CVE-2024-3094)
- Urgent security alert for Fedora 41 and Fedora Rawhide users
Copyright © ITmedia, Inc. All Rights Reserved.