Getty Images
Forscher haben eine bösartige Hintertür in einem Komprimierungstool gefunden, das in weit verbreitete Linux-Distributionen gelangt ist, darunter auch in die von Red Hat und Debian.
Das als xz Utils bekannte Komprimierungsdienstprogramm habe den Schadcode in den Versionen 5.6.0 und 5.6.1 eingeschleust, so Andres Freund, der Entwickler, der ihn entdeckt hat. Es sind keine Berichte darüber bekannt, dass diese Versionen in Produktionsversionen wichtiger Linux-Distributionen integriert wurden, aber sowohl Red Hat als auch Debian berichteten, dass kürzlich veröffentlichte Beta-Versionen mindestens eine der Backdoor-Versionen verwendeten – insbesondere in Fedora 40 und Fedora Rawhide und Debian Testende, instabile und experimentelle Distributionen. Betroffen ist auch eine stabile Version von Arch Linux. Diese Verteilung wird jedoch nicht in Produktionssystemen verwendet.
Da die Hintertür entdeckt wurde, bevor die bösartigen Versionen von xz Utils zu Produktionsversionen von Linux hinzugefügt wurden, „betrifft sie niemanden in der realen Welt wirklich“, sagte Will Dormann, ein leitender Schwachstellenanalyst beim Sicherheitsunternehmen ANALYGENCE, in einem Online-Interview. „ABER das liegt nur daran, dass es aufgrund der Schlamperei schlechter Schauspieler früh entdeckt wurde. Wäre es nicht entdeckt worden, wäre es für die Welt katastrophal gewesen.“
Mehrere Personen, darunter zwei Ars-Leser, berichteten, dass die zahlreichen Apps, die im HomeBrew-Paketmanager für macOS enthalten sind, auf der hintertürigen 5.6.1-Version von xz Utils basieren. Zu diesen Apps, sagte ein Benutzer, gehören: AOM, Cairo, ffmpeg, GCC, Glib, Harfbuzz, JPEG-XL, Leptonica, Libarchive, Libtiff, Little-CMS2, Numpy, OpenBlas, OpenJPEG, OpenVino, Pango, [email protected], Python @3.12, Tesseract, WebP, YT-DLP, ZSTD. Der andere Benutzer sagte, HomeBrew habe das Dienstprogramm jetzt auf Version 5.4.6 zurückgesetzt.
Unterbrechen der SSH-Authentifizierung
Die ersten Anzeichen der Hintertür wurden in einem Update vom 23. Februar eingeführt, das verschleierten Code hinzufügte, sagten Beamte von Red Hat in einer E-Mail. Ein Update am folgenden Tag enthielt ein bösartiges Installationsskript, das sich in Funktionen eingeschleust hat, die von sshd, der Binärdatei, die SSH zum Laufen bringt, verwendet werden. Der Schadcode befand sich nur in den archivierten Versionen – sogenannten Tarballs –, die von den Originalautoren veröffentlicht wurden. Sogenannter GIT-Code, der in Repositories verfügbar ist, ist nicht betroffen, obwohl er Artefakte der zweiten Stufe enthält, die die Injektion während der Build-Zeit ermöglichen. Falls der am 23. Februar eingeführte verschleierte Code vorhanden ist, ermöglichen die Artefakte in der GIT-Version den Betrieb der Hintertür.
Die böswilligen Änderungen wurden von JiaT75 eingereicht, einem der beiden Hauptentwickler von xz Utils mit jahrelangen Beiträgen zum Projekt.
„Angesichts der mehrwöchigen Aktivität ist der Täter entweder direkt beteiligt oder es kam zu einer ziemlich schwerwiegenden Kompromittierung seines Systems“, schrieb ein Beamter des Distributors OpenWall in einem Hinweis. „Letzteres scheint leider die unwahrscheinlichere Erklärung zu sein, wenn man bedenkt, dass auf verschiedenen Listen über die in den letzten Updates bereitgestellten ‚Korrekturen‘ kommuniziert wurde.“ Diese Updates und Korrekturen finden Sie hier, hier, hier und hier.
Am Donnerstag ging jemand, der den Namen des Entwicklers verwendete, auf eine Entwicklerseite für Ubuntu und forderte, dass die Backdoor-Version 5.6.1 in Produktionsversionen integriert wird, weil sie Fehler behebt, die zu Fehlfunktionen eines Tools namens Valgrind führten.
„Dies könnte Build-Skripte beschädigen und Pipelines testen, die eine bestimmte Ausgabe von Valgrind erwarten, um erfolgreich zu sein“, warnte die Person in einem Konto, das am selben Tag erstellt wurde.
Einer der Betreuer von Fedora sagte am Freitag, dass derselbe Entwickler in den letzten Wochen an sie herangetreten sei und darum gebeten habe, dass Fedora 40, eine Beta-Version, eine der Backdoor-Versionen des Dienstprogramms integrieren solle.
„Wir haben sogar mit ihm zusammengearbeitet, um das Valgrind-Problem zu beheben (das, wie sich jetzt herausstellt, durch die von ihm hinzugefügte Hintertür verursacht wurde)“, sagte der Ubuntu-Betreuer.
Er ist seit zwei Jahren Teil des xz-Projekts und hat alle möglichen binären Testdateien hinzugefügt, und um ehrlich zu sein, wäre ich bei diesem Grad an Raffinesse auch älteren Versionen von xz gegenüber misstrauisch, bis das Gegenteil bewiesen ist.
Die Betreuer von xz Utils antworteten nicht sofort auf E-Mails mit Fragen.
Die bösartigen Versionen stören laut Forschern absichtlich die Authentifizierung durch SSH, ein häufig verwendetes Protokoll für die Fernverbindung zu Systemen. SSH bietet eine robuste Verschlüsselung, um sicherzustellen, dass nur autorisierte Parteien eine Verbindung zu einem Remote-System herstellen. Die Hintertür soll es einem böswilligen Akteur ermöglichen, die Authentifizierung zu brechen und sich von dort aus unbefugten Zugriff auf das gesamte System zu verschaffen. Die Hintertür funktioniert durch das Einschleusen von Code während einer Schlüsselphase des Anmeldevorgangs.
„Ich habe noch nicht genau analysiert, worauf im eingeschleusten Code geprüft wird, um unbefugten Zugriff zu ermöglichen“, schrieb Freund. „Da dies in einem Vorauthentifizierungskontext ausgeführt wird, ist es wahrscheinlich, dass es irgendeine Form des Zugriffs oder eine andere Form der Remotecodeausführung ermöglicht.“
In einigen Fällen konnte die Hintertür nicht wie vorgesehen funktionieren. Die Build-Umgebung auf Fedora 40 weist beispielsweise Inkompatibilitäten auf, die verhindern, dass die Injektion korrekt erfolgt. Fedora 40 ist jetzt auf die 5.4.x-Versionen von xz Utils zurückgekehrt.
Xz Utils ist für die meisten, wenn nicht alle Linux-Distributionen verfügbar, aber nicht alle enthalten es standardmäßig. Jeder, der Linux verwendet, sollte sich umgehend bei seinem Händler erkundigen, ob sein System betroffen ist. Freund stellte ein Skript zur Verfügung, um zu erkennen, ob ein SSH-System angreifbar ist.