XZ攻撃シェルスクリプト

xz攻撃シェルスクリプト

• Andres Freundが2024年3月29日にxz攻撃の存在を公開した。
• 攻撃はシェルスクリプトとオブジェクトファイルの2つの部分に分かれている。
• シェルスクリプトはmakeの過程でオブジェクトファイルをビルドに追加する。
• 悪意のあるオブジェクトファイルとシェルコードは「テスト入力」に偽装され、圧縮および暗号化されて追加される。

構成

• xz-utilsはGNU autoconfを使用して、システムに合わせたビルド方法を決定する。
• 攻撃者は予期されていないサポートライブラリをtarball配布版に追加した。
• このサポートライブラリには悪意のあるコードが含まれている。

構成をもう一度見る

• 攻撃者が追加したサポートライブラリは特定のパターンを探し、そのファイルを設定する。
• このスクリプトは悪意のあるファイルを見つけ出し、そのファイルを実行してシェルコードを注入する。

シェルスクリプトの実行

• 悪意のあるシェルスクリプトは複数段階の検査を経て、必要な環境でのみ実行される。
• スクリプトはMakefileに複数行を追加し、ビルド過程に悪意のあるコードを挿入する。

GN⁺の意見

• この攻撃はオープンソースソフトウェアのセキュリティ脆弱性を露呈しており、開発者はコードレビューとセキュリティ監査の重要性を認識する必要がある。
• 攻撃手法はソフトウェアサプライチェーン攻撃の一例であり、このような攻撃を防ぐための対策が必要だ。
• この記事は、シェルスクリプトとビルドシステムの複雑さを悪用する攻撃手法を開発者に示すことで、警戒心を呼び起こす可能性がある。
• 批判的な視点から見ると、このような攻撃はオープンソースプロジェクトの信頼性に対する疑問を提起しかねない。
• 関連分野の知識を踏まえ、この記事はソフトウェアの開発および配布過程におけるセキュリティ点検の重要性を強調している。