Aktuelles
Von:
Filter
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

PC & Internet Sicherheitslücke in xz: Backdoor in Linux-Archivbibliothek macht Systeme angreifbar

article-1280x720.985f3db4.jpg


Durch jahrelange Vorarbeit ist es Angreifern gelungen, den Quellcode der Kompressionssoftware xz zu kompromittieren. Gezielt eingereichte Patches schufen Sicherheitslücken und diese wurden proaktiv in aktuelle Linux-Distributionen eingepflegt. Zum Update auf ein bereinigtes Paket wird dringend geraten.

Was bislang bekannt ist

Als
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
wird die jüngst im Upstream des Pack-Programms
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
entdeckte Lücke bezeichnet. Dabei wird beim Build-Prozess der Bibliothek liblzma eine im Quellcode hinterlegte Testdatei extrahiert, aus welcher eine vorgefertigte Objektdatei Funktionen innerhalb des liblzma-Codes ändert. Als Folge kann die modifizierte liblzma-Bibliothek Daten-Interaktionen abfangen – und zwar von jeder Software, welche gegen diese Bibliothek gelinkt ist.

So
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, dass beispielsweise
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
gegen die liblzma-Bibliothek verlinkt ist, welches wiederum mit
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
kommuniziert. Durch das Abfangen der Daten-Interaktionen kann das Authentifizierungs-Verfahren an den Schadcode umgeleitet und umgangen werden, was direkte Zugriffe auf das System ermöglicht.

Die Entdeckung geht auf
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
zurück, welcher in den vorangegangen Wochen seltsames Verhalten in Debian-Installationen entdeckt hatte. Dabei verursachten SSH-Logins unter anderem eine Menge CPU-Last.

Betroffene Systeme und Versionen

Die Verwundbarkeit ergibt sich durch das Zusammenspiel folgender
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
:
  • xz in Version 5.6.0 oder 5.6.1
  • Distribution mit glibc
  • Besonders .deb- und .rpm-Distributionen sind betroffen
Updates sind dringend angeraten. Die amerikanische CISA (Cybersecurity & Infrastructure Security Agency)
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
ein Downgrade zu Version 5.4.6.

Du musst dich Anmelden oder Registrieren um diesen link zusehen!
sollen das Update auf 5.6.1-2 ausführen.

In Debian und weiteren Distributionen ist openssh mit der Unterstützung für systemd notifications gepatcht, welches wiederum liblzma nutzt. Dieser Angriffsvektor ist unter Arch Linux nicht gegeben. Ob das eigenen System akut betroffen ist, lässt sich über den Befehl „ldd "$(command -v sshd)“ prüfen. Die Ausgabe zeigt eine eventuell vorhandene Verlinkung zu liblzma an.

Hinweis: ldd sollte nur auf vertrauenswürdige Pakete angewandt werden um missliebige Codeausführung zu vermeiden.

Du musst dich Anmelden oder Registrieren um diesen link zusehen!
Nutzer der Fedora 40 Beta – Fedora 38 & 39 sowie 40 mit Paketen ausschließlich aus dem stable-repo sind nicht betroffen.

Du musst dich Anmelden oder Registrieren um diesen link zusehen!
aktualisiert das Paket zu 5.6.1.revertto5.4, um den Schadcode zu beseitigen.

Du musst dich Anmelden oder Registrieren um diesen link zusehen!
scheint hierbei glimpflich davon gekommen zu sein.

Generell gilt neben dem sofortigen Update des
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
beziehungsweise des xz-Pakets auch der Rat, SSH abzustellen, falls dieses gegenwärtig nicht genutzt wird.

Die Geschichte hinter dem Angriff

Eine Zusammenfassung der bislang bekannten Abläufe hat
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
zusammengetragen. Demnach begann die Unternehmung bereits im Jahr 2021 durch das Anlegen des GitHub-Accounts JiaT75 und ersten Versuchen, Open-Source Projekte zu torpedieren. 2022 hat die betreffende Person oder Unternehmung hinter dem Account erste Patches für xz geliefert, welche aktiv von weiteren Nutzern durchgedrückt wurden. Der Druck wurde weiter ausgebaut, um neue Maintainer für das Projekt aufzunehmen. JiaT75 begann regelmäßig Commits für das Projekt zu liefern.

Anfang 2023 erreichte der Nutzer einen entsprechenden Vertrauensstatus im Projekt und kurz darauf startete das Werben bei den Distributionen um die Aufnahme der Programmversionen, die unter Zugriff der Konspiranten entstanden. Dabei wurden Vorbereitungen getroffen, um die Einführung schadhaften Codes zu verschleiern. Ab 2024 wurden die ominösen Testdateien aufgespielt und die verseuchte Version ausgeliefert.

Wer letztendlich dahinter steckt, lässt sich zum gegenwärtigen Zeitpunkt nicht sagen – ob ein staatlicher Akteur oder eine kriminelle Gruppe dahinter stecken, ist noch offen.

Quelle:
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
 
Zum Vergrößern anklicken....
Die Lücke betrifft, so wie im Computerbase Artikel-Forum zu lesen ist, darüber hinaus noch deutlich mehr Systeme, darunter auch das Linux Subsystem für Windows, je nach genutzter Distribution, oder auch Windows 11. Aktualisiert zeitnah eure Systeme, die meisten Distributionen stellen bereits Updates bereit.

Edit: Infos zu Win11:
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
 
Zuletzt bearbeitet:
Update durch Heise:

xz-Attacke: Hintertür enträtselt, weitere Details zu betroffenen Distros​

Experten halten die Hintertür in liblzma für den bis dato ausgeklügeltesten Supplychain-Angriff. Er erlaubt Angreifern, aus der Ferne Kommandos einzuschleusen.

Nach der Entdeckung einer Hintertür in den xz-Tools, die in vielen Open-Source-Plattformen enthalten sind, wurden am heutigen Karsamstag weitere Details bekannt. So handelt es sich bei der Backdoor um eine Möglichkeit für die Angreifer, eigenen Code auf den Zielsystemen auszuführen, den sie zuvor geschickt versteckt haben. Einen Netzwerk-Scanner zur Erkennung der Backdoor zu schreiben, scheint derzeit nicht möglich.


Clevere Hintertür führt Schadcode aus​


In einem
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
analysiert der Sicherheitsexperte und Kryptograf Filippo Valsorda die Hintertür. Diese ist bemerkenswert einfallsreich entworfen und nutzt einen RSA-Schlüssel als Transportmedium für den Schadcode. Beim Aufbau einer neuen SSH-Verbindung zu einem Server mit trojanisierten xz-Bibliotheken wird jener bereits beim Schlüsselaustausch übertragen, auf Plausibilität überprüft und schließlich entschlüsselt und ausgeführt.


Somit können zwar Angreifer ohne Zugangsdaten Code ausführen, einen Netzwerk-Scanner wie für andere Sicherheitslücken können Sicherheitsexperten aber wohl nicht schreiben. Ihnen fehlt schlicht das Schlüsselmaterial der Backdoor-Autoren: Sobald die Hintertür eine ungültige Signatur erkennt, stellt sie ihre Arbeit ein und setzt die Ausführung von normalem OpenSSH-Code fort. Die Überprüfung auf Hintertüren kann also nur
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
. Auch eine
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
für die Signatur der Backdoor steht mittlerweile bereit.


Projektübernahme mit Psychotricks​


Der Angriff war offenbar von langer Hand geplant. Der Angreifer "Jia Tan" erstellte sein Github-Konto im Jahr 2021 und konzentrierte sich ab 2022 auf das xz-Projekt. Er hat mithilfe mehrerer Komplizen oder Fake-Accounts, die psychologischen Druck auf den Hauptentwickler aufgebaut haben, nicht nur Kontrolle über das Projekt erlangt, sondern auch Linux-Distributionen dazu gedrängt, die von ihm präparierten Versionen der Pakete schnellstmöglich in ihre Systeme zu übernehmen. So sei er bei einem Fedora-Autor
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
und habe diesen aufgrund "toller neuer Features" überzeugen wollen, xz 5.6.x in die rpm-basierte Distribution aufzunehmen.


Ein Komplize mit dem Pseudonym "Hans Jansen" ging derweil
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
und warb um Aktualisierung des Pakets. Sein Vorwand: Die neue Version behebe ein Problem mit dem Programmier-Werkzeugkasten Valgrind – das jedoch erst durch den Einbau der Hintertür aufgetreten war. In Kommentaren lobten Pseudonyme wie "krygorin4545" und "misoeater91" den angeblichen Bugfix, vermutlich Fake-Accounts zur Stimmungsmache. Das Debian-Projekt entschied sich, die mit Hintertür versehene xz-Version in die instabile Version "Sid" aufzunehmen.


Betroffene Distributionen​


Bereits seit Donnerstagabend gibt es
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
– diese Rolling-Release-Version von OpenSUSE ohne feste Versionen enthielt ebenfalls ein löchriges xz-Paket. In stabile Debian- oder Ubuntu-Versionen hat die Hintertür es nicht geschafft, wohl aber in Debian "testing" und "unstable". Andere betroffene Linux-Varianten hatten wir bereits
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
genannt.


Der macOS-Paketmanager Homebrew hingegen ist nicht direkt betroffen. Zwar enthält Homebrew eine mit Hintertür versehene Version von liblzma, die Hintertür wird jedoch nur bei deb- und rpm-basierten Distributionen als Teil des Paket-Erstellungsprozesses scharf geschaltet, schreibt einer der Entwickler
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
.


Außerdem muss liblzma von OpenSSH geladen werden, obwohl diese Software die Bibliothek eigentlich nicht nutzt. Allerdings kann die Hintertür über indirekte Abhängigkeiten doch in OpenSSH landen. Beispielsweise
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, damit es systemd-notify unterstützt. Die systemd-Bibliothek libsystemd nutzt wiederum liblzma, sodass über diese Indirektion der Schadcode geladen wird.


Damit die Hintertür dann auch ausgeführt wird, müssen neben der gültigen Signatur noch weitere Vorbedingungen erfüllt sein:


  1. Die Umgebungsvariable TERM – üblicherweise Kennzeichen für eine interaktive Terminal-Sitzung – darf nicht gesetzt sein,
  2. Der Zielprozess muss /usr/sbin/sshd heißen,
  3. weder die Umgebungsvariablen LD_DEBUG noch LD_PROFILE sind gesetzt,
  4. eine Sprache ist mittels der Umgebungsvariable LANG festgelegt
  5. keine Debugging-Session mittels rr oder gdb findet statt.

Trifft eine der Vorbedingungen nicht zu, verweigert die Hintertür den Dienst.


Lücken veröffentlichen: Ja oder nein?​


Auf der Mailingliste oss-security (auf der die Hintertür durch ihren Entdecker entlarvt worden war) entspann sich unterdessen eine lebhafte Diskussion hochrangiger Security-Experten um das Für und Wider von Embargos auf Sicherheitslücken. Während Marc Deslauriers von Canonical die bei 0days üblichen Kommunikationssperren verteidigte, sprach sich Tavis Ormandy von Google für radikale Offenheit aus: Von Deslauriers leicht provokant gefragt, ob er die unverzügliche Veröffentlichung von Chrome-Sicherheitslücken befürworte, schrieb Ormandy: "Ja! Wenn jemand Wissen über irgendeine Software mit Backdoors oder [..] einem aktiven Zero-Day-Exploit hat, rate ich demjenigen – bitte –, dieses Wissen zu veröffentlichen."


Der Entdecker, Andres Freund, gab zu Protokoll, dass er die Verschwörung nur aufgrund "einer Reihe von Zufällen" entdeckt habe: Er beobachtete einige SSH-Prozesse mit überraschend hohem Ressourcenverbrauch, erinnerte sich des angeblichen Valgrind-Fehlers und zählte eins und eins zusammen.

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!
Zum Vergrößern anklicken....

Auch der Projektleiter des xz-Projekts, Lasse Collin, hat sich mittlerweile aus einer selbst verordneten Internet-Auszeit
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
. Der Entwickler hat einige der durch Jia Tan gemachten Änderungen an der Projekt-Infrastruktur zurückgenommen und klargestellt, dass nur er selber Zugriff auf die Projektdaten unterhalb der Domain "tukaani.org" habe. Der böswillige Tan hatte durch die Übertragung der Git-Repositories zu Github größere Kontrolle über das Projekt an sich gerissen. Die Konten des Projekts und der Entwickler Tan und Collin bei Github sind derzeit gesperrt.


Rufe nach mehr Unterstützung für Open-Source-Projekte werden nun lauter. Der Entwickler der Python-Netzwerkbibliothek Twisted schrieb dazu auf Mastodon, er hoffe wirklich, die übliche Praxis, sein "gesamtes gottverdammtes Produkt auf den Schultern einer überarbeiteten Person ruhen zu lassen, die langsam einen Nervenzusammenbruch bekäme, ohne diese finanziell oder strukturell irgendwie zu unterstützen" würde nun in der gesamten Branche auf den Prüfstand gestellt.


Wer Hans Jansen, Jia Tan und ihre Komplizen sind, ist noch ungewiss. Die Komplexität und Rafinesse des Angriffs deutet, so die Meinung mancher Experten, auf einen staatlich gelenkten Angriff hin. Details liegen jedoch noch im Dunkeln – die Jagd nach den Tätern hat begonnen.

Quelle:
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
 
Zuletzt bearbeitet:
Ich bin mal gespannt ob das noch weitere Kreise zieht und noch rasukommt, das noch andere Projekte von sowas betroffen sind. Das wird ja nicht das erste Mal sein, das sowas versucht wurde, nur diesmal ist es halt mal aufgefallen.
 

Ähnliche Themen

edgonzo
  • Artikel
Hardware & Software Backdoor in OpenSSH Server gefunden
Antworten
0
Aufrufe
630
edgonzo
edgonzo
josef.13
  • Artikel
Hardware & Software Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps
Antworten
1
Aufrufe
2K
josef.13
josef.13
u040201
  • Artikel
Hardware & Software Trivy: So durchleuchten Sie Container-Images auf Sicherheitslücken
Antworten
0
Aufrufe
1K
u040201
u040201
Zurück
Oben