[Aktuell] Backdoor in XZ Utils

[Juttar]

1

Dieses Thema fand ich diese Woche ganz interessant. Liest sich teilweise wie ein Krimi - auch wenn ich jetzt nicht jedes Detail völlig verstehe.

Hintertür in xz-Bibliothek gefährdet SSH-Verbindungen | heise online

Edit: Ich zitiere mal noch den Wiki-Absatz, der alles knapp und übersichtlich zusammenfasst.

Am 29. März 2024 wurde eine Backdoor in XZ Utils in den Versionen 5.6.0 und 5.6.1 bekannt. Die Sicherheitslücke erhielt den CVE-Eintrag CVE-2024-3094 mit der höchsten Bedrohungsstufe von 10. Diese Backdoor könnte es Angreifern ermöglichen, via SSH unbefugten Code auf Systemen auszuführen. Betroffene Linux-Distributionen sind unter anderem Debian unstable/testing, Fedora Rawhide, Gentoo Linux, Kali Linux und OpenSUSE Tumbleweed. Nicht betroffen sind zum Beispiel Debian stable, Red Hat Enterprise Linux oder SUSE Linux Enterprise. Bei der Rolling Release Distribution Arch Linux war die bis 28. März im Paket enthaltene Payload unschädlich. Da die Backdoor rechtzeitig gefunden wurde, hatte die kompromittierte Version noch nicht Einzug in die stabilen Versionen der meisten Distributionen gehalten. Andernfalls wären zahlreiche Server betroffen gewesen – dies wird vielfach als Albtraumszenario der IT-Sicherheit bezeichnet. Die Sicherheitslücke fiel auf, als ein PostgreSQL-Entwickler von Microsoft ungewöhnlich hohe CPU-Auslastungen bei SSHD-Prozessen bemerkte, die eigentlich aufgrund falscher Benutzernamen sofort hätten scheitern sollen. Eine tiefergehende Untersuchung mit Profiling-Tools zeigte, dass diese Auslastung durch außergewöhnliche Aktivitäten in der liblzma-Bibliothek verursacht wurde, ohne dass diese Aktivitäten einem spezifischen Symbol zugeordnet werden konnten. Diese Anomalie, kombiniert mit früheren, unerklärlichen Valgrind-Warnungen nach Paketaktualisierungen, weckte Verdacht. Die nachfolgende, detaillierte Analyse der xz-Codebasis und der kürzlichen Änderungen deckte schließlich die Backdoor auf. Als Reaktion auf diese Entdeckung wurde das offizielle GitHub-Repository des Projekts gesperrt, um eine weitere Verbreitung der kompromittierten Softwareversionen zu verhindern. Eingebaut wurde die Lücke durch eine Person mit dem Benutzernamen Jia Tan (GitHub-Account JiaT75). Diese hatte sich seit 2021 in dem Projekt engagiert, mutmaßlich um sich damit dort Vertrauen zu erschleichen. Zugleich übten andere Benutzer mit vermutlich falschen Identitäten Druck auf den ursprünglichen Maintainer aus, sodass dieser Jia Tan 2023 immer weitergehende Zugriffsrechte einräumte. Aufgrund des aufwändigen und langfristigen Vorgehens wird vermutet, dass hinter Jia Tan ein staatlicher Akteur steht.

[Mustrum]

2

Leider ein Schock, noch dazu weil eine Woche später die neueste stabile Debian-Version herausgekommen wäre. Damit wäre mit ein Schlag unzählige Rechner/Geräte betroffen gewesen.

Ist also noch rechtzeitig gefunden worden. Tatsächlich ist es wie ein Krimi/Thriller.
Langjährige Vorarbeit (Jia Tan), durch Mitarbeit an verschiedenen Projekten über sogenannte Commits, dann aufbauender Druck auf den Projektinhaber (
Lasse Collin) von xz, weil er so selten was macht (Er hat gesundheitliche Probleme und macht deshalb öfters Internetpausen).

Und als der Projektleiter sieht, dass der fiese Mensch (Jia Tan) schon öfters Code-Beiträgen geglänzt hat, überträgt er ihn Rechte damit dieser dann auch die Pakte veröffentlichen kann. Das tut er, nur das dabei schleichend böser Code eingeführt wird.

Das alles ist ziemlich laienhaft erklärt.

xz-Attacke: Hintertür enträtselt, weitere Details zu betroffenen Distros
Wie die Computerwelt gerade haarscharf an einer Sicherheitskatastrophe vorbeigeschrammt ist
Kompromittiertes Paket mit Backdoor in Arch, Debian, Fedora und openSUSE

[tomwatayan]

1

Hier auf Twitter gibt's auch ein schönes Bild mit einer Zusammenfassung: Thomas Roccia.
Das ist mit mehr umschließenden Text auch hinter Mustrums zweiten Link (derstandard.at) zu sehen.



Das erläutert ganz gut, wie der Code da unbemerkt reinkommen konnte. Weil es eine Kompressionsbibliothek ist, wurde einfach ein Binärobjekt im lzma-Format für einen Test eingecheckt, um angeblich das Entpacken zu testen. Und dann gab's später ein angeblich unverwandtes Skript in einer unlesbaren Skriptsprache von 1977 (M4) und eine wohl ebenfalls sehr kryptisch geschriebene Anpassung in einem Bash-Skript, das die Datei entpackt und den Inhalt ins die Hauptbibliothek hineinkompiliert.