Backdoor in xz Utils bedroht Sicherheit von Linux-Systemen

MÜNCHEN (IT BOLTWISE) – Forscher haben eine bösartige Backdoor in einem Kompressionstool entdeckt, das seinen Weg in weit verbreitete Linux-Distributionen, einschließlich jener von Red Hat und Debian, gefunden hat.

Forscher haben eine bösartige Backdoor in einem Kompressionstool entdeckt, das in weit verbreitete Linux-Distributionen einschließlich jener von Red Hat und Debian eingedrungen ist. Das Kompressionstool, bekannt als xz Utils, führte den bösartigen Code in den Versionen 5.6.0 und 5.6.1 ein. Es gibt keine bekannten Berichte darüber, dass diese Versionen in irgendwelche Produktionsversionen der großen Linux-Distributionen integriert wurden, doch sowohl Red Hat als auch Debian berichteten, dass kürzlich veröffentlichte Betaversionen mindestens eine der kompromittierten Versionen verwendet haben.

xz Utils führte den schädlichen Code in den Versionen 5.6.0 und 5.6.1 ein, so der Entwickler Andres Freund, der ihn entdeckte. Es gibt keine bekannten Berichte darüber, dass diese Versionen in irgendwelche Produktionsversionen für bedeutende Linux-Distributionen integriert wurden, aber sowohl Red Hat als auch Debian berichteten, dass kürzlich veröffentlichte Beta-Versionen mindestens eine der kompromittierten Versionen verwendet haben – speziell in Fedora Rawhide und den Debian-Test-, Unstable- und Experimental-Distributionen. Auch eine stabile Version von Arch Linux ist betroffen. Diese Distribution wird jedoch nicht in Produktionssystemen verwendet.

Die Backdoor zielte darauf ab, sich in Funktionen einzuschleusen, die von sshd, der Binärdatei, die SSH ermöglicht, verwendet werden. Dies hätte es einem Angreifer ermöglicht, die Authentifizierung zu durchbrechen und unberechtigten Zugriff auf das gesamte System zu erlangen. Trotz der potenziellen Gefahr wurde die Backdoor entdeckt, bevor die kompromittierten Versionen von xz Utils in Produktionsversionen von Linux hinzugefügt wurden, was eine realweltliche Auswirkung verhinderte.

Es scheint, dass diese Backdoor das Ergebnis jahrelanger Planung war. Ein Entwickler, der unter dem Benutzernamen JiaT75 bekannt ist, spielte eine Schlüsselrolle bei der Implementierung der Backdoor. Die bösartigen Änderungen zielten speziell darauf ab, die Authentifizierung durch SSH, ein häufig verwendetes Protokoll für den Fernzugriff auf Systeme, zu stören. Die Backdoor arbeitete, indem sie Code während einer Schlüsselphase des Anmeldeprozesses injizierte.

Da die Backdoor entdeckt wurde, bevor die bösartigen Versionen von xz Utils zu Produktionsversionen von Linux hinzugefügt wurden, „betrifft sie wirklich niemanden in der realen Welt“, sagte Will Dormann, ein leitender Vulnerability-Analyst bei der Sicherheitsfirma Analygence, in einem Online-Interview. „ABER das ist nur, weil sie frühzeitig aufgrund der Nachlässigkeit des bösen Akteurs entdeckt wurde. Wäre sie nicht entdeckt worden, wäre es katastrophal für die Welt gewesen.“

Es wurde berichtet, dass mehrere Apps, die im HomeBrew-Paketmanager für macOS enthalten sind, auf die mit Backdoor versehene Version 5.6.1 von xz Utils angewiesen sind. HomeBrew hat das Tool nun auf Version 5.4.6 zurückgerollt. Die Betreuer haben hier mehr Details verfügbar.

Die ersten Anzeichen der Backdoor wurden in einem Update vom 23. Februar eingeführt, das verschleierten Code hinzufügte, sagten Beamte von Red Hat in einer E-Mail. Ein Update am folgenden Tag enthielt ein bösartiges Installationsskript, das sich in Funktionen einschleuste, die von sshd, der Binärdatei, die SSH funktionieren lässt, verwendet werden. Der schädliche Code befand sich nur in den archivierten Versionen – bekannt als Tarballs –, die stromaufwärts veröffentlicht werden. Sogenannter GIT-Code, der in Repositories verfügbar ist, ist nicht betroffen, obwohl sie sekundäre Artefakte enthalten, die die Injektion während der Build-Zeit ermöglichen. Falls der verschleierte Code, der am 23. Februar eingeführt wurde, vorhanden ist, ermöglichen die Artefakte in der GIT-Version, dass die Backdoor funktioniert.

Die bösartigen Änderungen wurden von JiaT75 eingereicht, einem der beiden Hauptentwickler von xz Utils mit jahrelangen Beiträgen zum Projekt.

„Angesichts der Aktivität über mehrere Wochen ist der Committer entweder direkt beteiligt oder es gab einen ziemlich schwerwiegenden Kompromiss ihres Systems“, schrieb Freund. „Leider scheint letzteres die weniger wahrscheinliche Erklärung zu sein, da sie auf verschiedenen Listen über die ‚Fixes‘ kommunizierten“, die in jüngsten Updates bereitgestellt wurden. Diese Updates und Fixes finden sich hier, hier, hier und hier.

Am Donnerstag bat jemand, der den Namen des Entwicklers verwendete, auf einer Entwicklerseite für Ubuntu darum, dass die kompromittierte Version 5.6.1 in Produktionsversionen aufgenommen wird, weil sie Bugs behebt, die ein Tool namens Valgrind zum Fehlfunktionieren brachten.

„Dies könnte Build-Skripte und Testpipelines unterbrechen, die eine spezifische Ausgabe von Valgrind erwarten, um zu bestehen“, warnte die Person, von einem Konto, das am selben Tag erstellt wurde.

Einer der Betreuer von Fedora sagte am Freitag, dass derselbe Entwickler sie in den letzten Wochen gebeten hatte, Fedora 40, eine Beta-Version, mit einer der kompromittierten Versionen des Tools zu versehen.

„Wir haben sogar mit ihm zusammengearbeitet, um das Valgrind-Problem zu beheben (das sich jetzt herausstellte, dass es durch die von ihm hinzugefügte Backdoor verursacht wurde)“, sagte der Ubuntu-Betreuer. „Er ist seit zwei Jahren Teil des xz-Projekts, fügte alle Arten von Binärtestdateien hinzu, und bei diesem Grad an Raffinesse wären wir selbst bei älteren Versionen von xz misstrauisch, bis das Gegenteil bewiesen ist.“

Die bösartigen Versionen, so die Forscher, stören absichtlich die Authentifizierung, die von SSH durchgeführt wird, einem häufig verwendeten Protokoll für die Verbindung zu Systemen aus der Ferne. SSH bietet robuste Verschlüsselung, um sicherzustellen, dass nur autorisierte Parteien eine Verbindung zu einem Remote-System herstellen können. Die Backdoor ist so konzipiert, dass ein böswilliger Akteur die Authentifizierung brechen und von dort aus unbefugten Zugang zum gesamten System erlangen kann. Die Backdoor funktioniert, indem sie Code während einer Schlüsselphase des Anmeldeprozesses injiziert.

„Ich habe noch nicht genau analysiert, was in dem injizierten Code überprüft wird, um unbefugten Zugang zu ermöglichen“, schrieb Freund. „Da dies in einem präauthentifizierenden Kontext läuft, scheint es wahrscheinlich, irgendeine Form des Zugangs oder eine andere Form der Fernausführung von Code zu ermöglichen.“

In einigen Fällen konnte die Backdoor nicht wie beabsichtigt funktionieren. Die Build-Umgebung auf Fedora 40 enthält beispielsweise Inkompatibilitäten, die verhindern, dass die Injektion korrekt erfolgt. Fedora 40 ist nun zu den Versionen 5.4.x von xz Utils zurückgekehrt.

Xz Utils ist für die meisten, wenn nicht alle Linux-Distributionen verfügbar, aber nicht alle von ihnen enthalten es standardmäßig. Jeder, der Linux verwendet, sollte sofort seinen Distributor kontaktieren, um zu bestimmen, ob sein System betroffen ist. Freund hat ein Skript zur Verfügung gestellt, um zu erkennen, ob ein SSH-System anfällig ist.

Obwohl es letztendlich gelang, die Bedrohung abzuwenden, heben die Ereignisse die anhaltende Notwendigkeit hervor, die Sicherheit von Open-Source-Software sorgfältig zu überwachen und die Authentizität von Softwareupdates zu überprüfen. Benutzer und Entwickler sind angehalten, ihre Systeme zu überprüfen und auf sichere Softwareversionen zu aktualisieren, um sich vor ähnlichen Bedrohungen zu schützen.