Red Hat warnte am Freitag, dass eine bösartige Hintertür, die in der weit verbreiteten Datenkomprimierungssoftware-Bibliothek xz gefunden wurde, in Instanzen von Fedora Linux 40 und in der Entwicklerdistribution Fedora Rawhide vorhanden sein könnte.
Der IT-Riese sagte, der Schadcode, der offenbar zumindest über OpenSSH und systemd einen Remote-Backdoor-Zugriff ermöglicht, sei in xz 5.6.0 und 5.6.1 vorhanden. Die Schwachstelle wurde als CVE-2024-3094 bezeichnet. Der CVSS-Schweregrad wird mit 10 von 10 bewertet.
Benutzer von Fedora Linux 40 haben laut Red Hat möglicherweise 5.6.0 erhalten, abhängig vom Zeitpunkt ihrer Systemaktualisierungen. Und Benutzer von Fedora Rawhide, der aktuellen Entwicklungsversion von Fedora Linux 41, haben möglicherweise 5.6.1 erhalten. Fedora 40 und 41 wurden noch nicht offiziell veröffentlicht; Version 40 erscheint nächsten Monat.
Benutzer anderer Linux- und OS-Distributionen sollten überprüfen, welche Version der xz-Suite sie installiert haben. Die infizierten Versionen 5.6.0 und 5.6.1 wurden am 24. Februar bzw. 9. März veröffentlicht und werden möglicherweise nicht in die Bereitstellungen allzu vieler Personen integriert.
Diese Kompromittierung der Lieferkette wurde möglicherweise früh genug erkannt, um eine umfassende Ausnutzung zu verhindern, und betrifft möglicherweise hauptsächlich nur hochmoderne Distributionen, die sofort die neuesten xz-Versionen übernommen haben.
Debian Unstable und Kali Linux haben angegeben, dass sie, wie Fedora, betroffen sind; Alle Benutzer sollten Maßnahmen ergreifen, um alle Backdoor-Builds von xz zu identifizieren und zu entfernen.
„BITTE STOPPEN SIE SOFORT DIE NUTZUNG JEGLICHER FEDORA-ROHHIDE-INSTANZE für berufliche oder private Aktivitäten“, rief der Berater der IBM-Tochtergesellschaft heute von den Dächern. „Fedora Rawhide wird in Kürze auf xz-5.4.x zurückgesetzt, und sobald dies erledigt ist, können Fedora Rawhide-Instanzen sicher erneut bereitgestellt werden.“
Red Hat Enterprise Linux (RHEL) ist nicht betroffen.
Der Schadcode in den xz-Versionen 5.6.0 und 5.6.1 wurde laut Red Hat verschleiert und ist nur noch im Quellcode-Tarball vollständig vorhanden. Artefakte der zweiten Stufe im Git-Repository werden während des Build-Prozesses durch das M4-Makro im Repository in Schadcode umgewandelt. Die resultierende vergiftete xz-Bibliothek wird unbeabsichtigt von Software wie dem systemd des Betriebssystems verwendet, nachdem die Bibliothek verteilt und installiert wurde. Die Malware wurde offenbar entwickelt, um den Betrieb von OpenSSH-Server-Daemons zu verändern, die die Bibliothek über systemd nutzen.
„Der resultierende bösartige Build stört die Authentifizierung in sshd über systemd“, erklärt Red Hat. „SSH ist ein häufig verwendetes Protokoll für die Fernverbindung zu Systemen, und sshd ist der Dienst, der den Zugriff ermöglicht.“
Diese Authentifizierungsstörung kann es einem Täter ermöglichen, die SSD-Authentifizierung zu unterbrechen und sich aus der Ferne unbefugten Zugriff auf ein betroffenes System zu verschaffen. Zusammenfassend scheint die Hintertür folgendermaßen zu funktionieren: Linux-Rechner installieren die hintertürige xz-Bibliothek – insbesondere liblzma – und diese Abhängigkeit wiederum wird letztendlich auf irgendeine Weise vom OpenSSH-Daemon des Computers verwendet. An diesem Punkt ist die vergiftete xz-Bibliothek in der Lage, sich in den Daemon einzumischen und möglicherweise einem nicht autorisierten Schurken die Fernanmeldung zu ermöglichen.
Wie Red Hat es ausdrückte:
In einem Beitrag auf der Openwall-Sicherheitsmailingliste von Andres Freund, PostgreSQL-Entwickler und Committer, wird die Sicherheitslücke detaillierter untersucht.
KI halluziniert Softwarepakete und Entwickler laden sie herunter
MEHR LESEN
„Die Hintertür fängt zunächst die Ausführung ab, indem sie die ifunc-Resolver crc32_resolve(), crc64_resolve() durch anderen Code ersetzt, der _get_cpuid() aufruft und in den Code eingefügt wird (bei dem es sich zuvor nur um statische Inline-Funktionen handelte). In xz 5.6.1 die Hintertür wurde weiter verschleiert und Symbolnamen entfernt“, erklärt Freund mit dem Vorbehalt, dass er kein Sicherheitsforscher oder Reverse Engineer ist.
Freund spekuliert, dass der Code „wahrscheinlich irgendeine Form des Zugriffs oder eine andere Form der Remote-Codeausführung ermöglicht“.
Der mit den beleidigenden Commits verknüpfte Kontoname hat zusammen mit anderen Details wie dem Zeitpunkt, zu dem diese Commits durchgeführt wurden, zu Spekulationen geführt, dass der Autor des Schadcodes ein raffinierter Angreifer ist, der möglicherweise mit einer bundesstaatlichen Behörde in Verbindung steht.
Die Cybersecurity and Infrastructure Security Agency (CISA) der US-Regierung hat hierzu bereits eine Empfehlung herausgegeben. ®