PC & Internet Sicherheitslücke in xz: Backdoor in Linux-Archivbibliothek macht Systeme angreifbar

Du musst angemeldet sein, um Bilder zu sehen.

Durch jahrelange Vorarbeit ist es Angreifern gelungen, den Quellcode der Kompressionssoftware xz zu kompromittieren. Gezielt eingereichte Patches schufen Sicherheitslücken und diese wurden proaktiv in aktuelle Linux-Distributionen eingepflegt. Zum Update auf ein bereinigtes Paket wird dringend geraten.

Was bislang bekannt ist

Als CVE-2024-3094 wird die jüngst im Upstream des Pack-Programms xz entdeckte Lücke bezeichnet. Dabei wird beim Build-Prozess der Bibliothek liblzma eine im Quellcode hinterlegte Testdatei extrahiert, aus welcher eine vorgefertigte Objektdatei Funktionen innerhalb des liblzma-Codes ändert. Als Folge kann die modifizierte liblzma-Bibliothek Daten-Interaktionen abfangen – und zwar von jeder Software, welche gegen diese Bibliothek gelinkt ist.

So warnt Red Hat, dass beispielsweise systemd gegen die liblzma-Bibliothek verlinkt ist, welches wiederum mit OpenSSH kommuniziert. Durch das Abfangen der Daten-Interaktionen kann das Authentifizierungs-Verfahren an den Schadcode umgeleitet und umgangen werden, was direkte Zugriffe auf das System ermöglicht.

Die Entdeckung geht auf Andres Freund zurück, welcher in den vorangegangen Wochen seltsames Verhalten in Debian-Installationen entdeckt hatte. Dabei verursachten SSH-Logins unter anderem eine Menge CPU-Last.

Betroffene Systeme und Versionen

Die Verwundbarkeit ergibt sich durch das Zusammenspiel folgender Parameter:

• xz in Version 5.6.0 oder 5.6.1
• Distribution mit glibc
• Besonders .deb- und .rpm-Distributionen sind betroffen

Updates sind dringend angeraten. Die amerikanische CISA (Cybersecurity & Infrastructure Security Agency) empfiehlt ein Downgrade zu Version 5.4.6.

Arch-Nutzer sollen das Update auf 5.6.1-2 ausführen.

In Debian und weiteren Distributionen ist openssh mit der Unterstützung für systemd notifications gepatcht, welches wiederum liblzma nutzt. Dieser Angriffsvektor ist unter Arch Linux nicht gegeben. Ob das eigenen System akut betroffen ist, lässt sich über den Befehl „ldd "$(command -v sshd)“ prüfen. Die Ausgabe zeigt eine eventuell vorhandene Verlinkung zu liblzma an.

Hinweis: ldd sollte nur auf vertrauenswürdige Pakete angewandt werden um missliebige Codeausführung zu vermeiden.

Fedora warnt Nutzer der Fedora 40 Beta – Fedora 38 & 39 sowie 40 mit Paketen ausschließlich aus dem stable-repo sind nicht betroffen.

openSUSE aktualisiert das Paket zu 5.6.1.revertto5.4, um den Schadcode zu beseitigen.

Ubuntu scheint hierbei glimpflich davon gekommen zu sein.

Generell gilt neben dem sofortigen Update des Betriebssystems beziehungsweise des xz-Pakets auch der Rat, SSH abzustellen, falls dieses gegenwärtig nicht genutzt wird.

Die Geschichte hinter dem Angriff

Eine Zusammenfassung der bislang bekannten Abläufe hat Evan Boeh zusammengetragen. Demnach begann die Unternehmung bereits im Jahr 2021 durch das Anlegen des GitHub-Accounts JiaT75 und ersten Versuchen, Open-Source Projekte zu torpedieren. 2022 hat die betreffende Person oder Unternehmung hinter dem Account erste Patches für xz geliefert, welche aktiv von weiteren Nutzern durchgedrückt wurden. Der Druck wurde weiter ausgebaut, um neue Maintainer für das Projekt aufzunehmen. JiaT75 begann regelmäßig Commits für das Projekt zu liefern.

Anfang 2023 erreichte der Nutzer einen entsprechenden Vertrauensstatus im Projekt und kurz darauf startete das Werben bei den Distributionen um die Aufnahme der Programmversionen, die unter Zugriff der Konspiranten entstanden. Dabei wurden Vorbereitungen getroffen, um die Einführung schadhaften Codes zu verschleiern. Ab 2024 wurden die ominösen Testdateien aufgespielt und die verseuchte Version ausgeliefert.

Wer letztendlich dahinter steckt, lässt sich zum gegenwärtigen Zeitpunkt nicht sagen – ob ein staatlicher Akteur oder eine kriminelle Gruppe dahinter stecken, ist noch offen.

Quelle: Computerbase

 

[l00pm45ch1n3]

Die Lücke betrifft, so wie im Computerbase Artikel-Forum zu lesen ist, darüber hinaus noch deutlich mehr Systeme, darunter auch das Linux Subsystem für Windows, je nach genutzter Distribution, oder auch Windows 11. Aktualisiert zeitnah eure Systeme, die meisten Distributionen stellen bereits Updates bereit.

Edit: Infos zu Win11: xz-utils backdoor situation

 

[l00pm45ch1n3]

Update durch Heise:

xz-Attacke: Hintertür enträtselt, weitere Details zu betroffenen Distros​

Experten halten die Hintertür in liblzma für den bis dato ausgeklügeltesten Supplychain-Angriff. Er erlaubt Angreifern, aus der Ferne Kommandos einzuschleusen.

Nach der Entdeckung einer Hintertür in den xz-Tools, die in vielen Open-Source-Plattformen enthalten sind, wurden am heutigen Karsamstag weitere Details bekannt. So handelt es sich bei der Backdoor um eine Möglichkeit für die Angreifer, eigenen Code auf den Zielsystemen auszuführen, den sie zuvor geschickt versteckt haben. Einen Netzwerk-Scanner zur Erkennung der Backdoor zu schreiben, scheint derzeit nicht möglich.

Clevere Hintertür führt Schadcode aus​

In einem Diskussionsfaden auf der Social-Media-Plattform BlueSky analysiert der Sicherheitsexperte und Kryptograf Filippo Valsorda die Hintertür. Diese ist bemerkenswert einfallsreich entworfen und nutzt einen RSA-Schlüssel als Transportmedium für den Schadcode. Beim Aufbau einer neuen SSH-Verbindung zu einem Server mit trojanisierten xz-Bibliotheken wird jener bereits beim Schlüsselaustausch übertragen, auf Plausibilität überprüft und schließlich entschlüsselt und ausgeführt.


Somit können zwar Angreifer ohne Zugangsdaten Code ausführen, einen Netzwerk-Scanner wie für andere Sicherheitslücken können Sicherheitsexperten aber wohl nicht schreiben. Ihnen fehlt schlicht das Schlüsselmaterial der Backdoor-Autoren: Sobald die Hintertür eine ungültige Signatur erkennt, stellt sie ihre Arbeit ein und setzt die Ausführung von normalem OpenSSH-Code fort. Die Überprüfung auf Hintertüren kann also nur lokal erfolgen. Auch eine Yara-Regel für die Signatur der Backdoor steht mittlerweile bereit.

Projektübernahme mit Psychotricks​

Der Angriff war offenbar von langer Hand geplant. Der Angreifer "Jia Tan" erstellte sein Github-Konto im Jahr 2021 und konzentrierte sich ab 2022 auf das xz-Projekt. Er hat mithilfe mehrerer Komplizen oder Fake-Accounts, die psychologischen Druck auf den Hauptentwickler aufgebaut haben, nicht nur Kontrolle über das Projekt erlangt, sondern auch Linux-Distributionen dazu gedrängt, die von ihm präparierten Versionen der Pakete schnellstmöglich in ihre Systeme zu übernehmen. So sei er bei einem Fedora-Autor vorstellig geworden und habe diesen aufgrund "toller neuer Features" überzeugen wollen, xz 5.6.x in die rpm-basierte Distribution aufzunehmen.


Ein Komplize mit dem Pseudonym "Hans Jansen" ging derweil beim Debian-Projekt Klinken putzen und warb um Aktualisierung des Pakets. Sein Vorwand: Die neue Version behebe ein Problem mit dem Programmier-Werkzeugkasten Valgrind – das jedoch erst durch den Einbau der Hintertür aufgetreten war. In Kommentaren lobten Pseudonyme wie "krygorin4545" und "misoeater91" den angeblichen Bugfix, vermutlich Fake-Accounts zur Stimmungsmache. Das Debian-Projekt entschied sich, die mit Hintertür versehene xz-Version in die instabile Version "Sid" aufzunehmen.

Betroffene Distributionen​

Bereits seit Donnerstagabend gibt es aktualisierte Pakete für OpenSUSE "Tumbleweed" – diese Rolling-Release-Version von OpenSUSE ohne feste Versionen enthielt ebenfalls ein löchriges xz-Paket. In stabile Debian- oder Ubuntu-Versionen hat die Hintertür es nicht geschafft, wohl aber in Debian "testing" und "unstable". Andere betroffene Linux-Varianten hatten wir bereits in unserer ersten Meldung genannt.


Der macOS-Paketmanager Homebrew hingegen ist nicht direkt betroffen. Zwar enthält Homebrew eine mit Hintertür versehene Version von liblzma, die Hintertür wird jedoch nur bei deb- und rpm-basierten Distributionen als Teil des Paket-Erstellungsprozesses scharf geschaltet, schreibt einer der Entwickler auf Github.


Außerdem muss liblzma von OpenSSH geladen werden, obwohl diese Software die Bibliothek eigentlich nicht nutzt. Allerdings kann die Hintertür über indirekte Abhängigkeiten doch in OpenSSH landen. Beispielsweise patchen viele Distributionen OpenSSH, damit es systemd-notify unterstützt. Die systemd-Bibliothek libsystemd nutzt wiederum liblzma, sodass über diese Indirektion der Schadcode geladen wird.


Damit die Hintertür dann auch ausgeführt wird, müssen neben der gültigen Signatur noch weitere Vorbedingungen erfüllt sein:

1. Die Umgebungsvariable TERM – üblicherweise Kennzeichen für eine interaktive Terminal-Sitzung – darf nicht gesetzt sein,
2. Der Zielprozess muss /usr/sbin/sshd heißen,
3. weder die Umgebungsvariablen LD_DEBUG noch LD_PROFILE sind gesetzt,
4. eine Sprache ist mittels der Umgebungsvariable LANG festgelegt
5. keine Debugging-Session mittels rr oder gdb findet statt.

Trifft eine der Vorbedingungen nicht zu, verweigert die Hintertür den Dienst.

Lücken veröffentlichen: Ja oder nein?​

Auf der Mailingliste oss-security (auf der die Hintertür durch ihren Entdecker entlarvt worden war) entspann sich unterdessen eine lebhafte Diskussion hochrangiger Security-Experten um das Für und Wider von Embargos auf Sicherheitslücken. Während Marc Deslauriers von Canonical die bei 0days üblichen Kommunikationssperren verteidigte, sprach sich Tavis Ormandy von Google für radikale Offenheit aus: Von Deslauriers leicht provokant gefragt, ob er die unverzügliche Veröffentlichung von Chrome-Sicherheitslücken befürworte, schrieb Ormandy: "Ja! Wenn jemand Wissen über irgendeine Software mit Backdoors oder [..] einem aktiven Zero-Day-Exploit hat, rate ich demjenigen – bitte –, dieses Wissen zu veröffentlichen."


Der Entdecker, Andres Freund, gab zu Protokoll, dass er die Verschwörung nur aufgrund "einer Reihe von Zufällen" entdeckt habe: Er beobachtete einige SSH-Prozesse mit überraschend hohem Ressourcenverbrauch, erinnerte sich des angeblichen Valgrind-Fehlers und zählte eins und eins zusammen.

Du musst angemeldet sein, um Bilder zu sehen.

AndresFreundTec @AndresFreundTec


I was doing some micro-benchmarking at the time, needed to quiesce the system to reduce noise. Saw sshd processes were using a surprising amount of CPU, despite immediately failing because of wrong usernames etc. Profiled sshd, showing lots of cpu time in liblzma, with perf unable to attribute it to a symbol. Got suspicious. Recalled that I had seen an odd valgrind complaint in automated testing of postgres, a few weeks earlier, after package updates.

Really required a lot of coincidences.

Auch der Projektleiter des xz-Projekts, Lasse Collin, hat sich mittlerweile aus einer selbst verordneten Internet-Auszeit zu Wort gemeldet. Der Entwickler hat einige der durch Jia Tan gemachten Änderungen an der Projekt-Infrastruktur zurückgenommen und klargestellt, dass nur er selber Zugriff auf die Projektdaten unterhalb der Domain "tukaani.org" habe. Der böswillige Tan hatte durch die Übertragung der Git-Repositories zu Github größere Kontrolle über das Projekt an sich gerissen. Die Konten des Projekts und der Entwickler Tan und Collin bei Github sind derzeit gesperrt.


Rufe nach mehr Unterstützung für Open-Source-Projekte werden nun lauter. Der Entwickler der Python-Netzwerkbibliothek Twisted schrieb dazu auf Mastodon, er hoffe wirklich, die übliche Praxis, sein "gesamtes gottverdammtes Produkt auf den Schultern einer überarbeiteten Person ruhen zu lassen, die langsam einen Nervenzusammenbruch bekäme, ohne diese finanziell oder strukturell irgendwie zu unterstützen" würde nun in der gesamten Branche auf den Prüfstand gestellt.


Wer Hans Jansen, Jia Tan und ihre Komplizen sind, ist noch ungewiss. Die Komplexität und Rafinesse des Angriffs deutet, so die Meinung mancher Experten, auf einen staatlich gelenkten Angriff hin. Details liegen jedoch noch im Dunkeln – die Jagd nach den Tätern hat begonnen.

Quelle: Heise Online

 

[blubb83]

Ich bin mal gespannt ob das noch weitere Kreise zieht und noch rasukommt, das noch andere Projekte von sowas betroffen sind. Das wird ja nicht das erste Mal sein, das sowas versucht wurde, nur diesmal ist es halt mal aufgefallen.