Linux, das am weitesten verbreitete Open-Source-Betriebssystem der Welt, konnte am Osterwochenende dank eines Freiwilligen nur knapp einem massiven Cyberangriff entkommen.
Die Hintertür wurde in eine aktuelle Version eines Linux-Komprimierungsformats namens XZ Utils eingefügt, ein Tool, das außerhalb der Linux-Welt wenig bekannt ist, aber in fast jeder Linux-Distribution verwendet wird, um große Dateien zu komprimieren und so die Übertragung zu erleichtern. Hätte es sich weiter verbreitet, wären unzählige Systeme über Jahre hinweg kompromittiert worden.
Und wie Ars Technica In der ausführlichen Zusammenfassung heißt es, dass der Täter unter freiem Himmel an dem Projekt gearbeitet habe.
Die Schwachstelle, die in die Remote-Anmeldung von Linux eingefügt wurde, war nur einem einzigen Schlüssel ausgesetzt, sodass sie vor Scans öffentlicher Computer verborgen bleiben konnte. Wie Ben Thompson schreibt Strategie. „Die Mehrheit der Computer auf der Welt wäre angreifbar und niemand würde davon erfahren.“
Die Geschichte der Entdeckung der XZ-Hintertür beginnt am frühen Morgen des 29. März, als der in San Francisco ansässige Microsoft-Entwickler Andres Freund auf Mastodon postete und eine E-Mail an die Sicherheitsmailingliste von OpenWall mit der Überschrift „Hintertür im Upstream xz/liblzma führt zu“ schickte SSH-Serverkompromittierung.“
Freund, der sich ehrenamtlich als „Maintainer“ für PostgreSQL, eine Linux-basierte Datenbank, engagiert, bemerkte in den letzten Wochen bei Tests einige seltsame Dinge. Verschlüsselte Anmeldungen bei liblzma, Teil der XZ-Komprimierungsbibliothek, verbrauchten eine Menge CPU. Keines der von ihm verwendeten Performance-Tools verriet etwas, schrieb Freund auf Mastodon. Das machte ihn sofort misstrauisch und er erinnerte sich an eine „seltsame Beschwerde“ eines Postgres-Benutzers vor ein paar Wochen über Valgrind, das Linux-Programm, das auf Speicherfehler prüft.
Nach einigem Nachforschen fand Freund schließlich heraus, was los war. „Das Upstream-XZ-Repository und die XZ-Tarballs wurden mit einer Hintertür versehen“, bemerkte Freund in seiner E-Mail. Der Schadcode befand sich in den Versionen 5.6.0 und 5.6.1 der xz-Tools und -Bibliotheken.
Kurz darauf verschickte das Unternehmen für Open-Source-Software Red Hat eine Notfallwarnung für Benutzer von Fedora Rawhide und Fedora Linux 40. Letztendlich kam das Unternehmen zu dem Schluss, dass die Betaversion von Fedora Linux 40 zwei betroffene Versionen der xz-Bibliotheken enthielt. Fedora Rawhide-Versionen erhielten wahrscheinlich auch die Versionen 5.6.0 oder 5.6.1.
BITTE STOPPEN SIE SOFORT DIE NUTZUNG JEGLICHER FEDORA RAWHIDE-INSTANCES für berufliche oder private Aktivitäten. Fedora Rawhide wird in Kürze auf xz-5.4.x zurückgesetzt, und sobald dies erledigt ist, können Fedora Rawhide-Instanzen sicher erneut bereitgestellt werden.
Obwohl eine Betaversion von Debian, der kostenlosen Linux-Distribution, kompromittierte Pakete enthielt, reagierte das Sicherheitsteam schnell und machte sie rückgängig. „Im Moment ist bekannt, dass keine stabilen Debian-Versionen betroffen sind“, schrieb Debians Salvatore Bonaccorso am Freitagabend in einer Sicherheitswarnung an Benutzer.
Später identifizierte Freund die Person, die den Schadcode übermittelte, als einen der beiden Hauptentwickler von xz Utils, bekannt als JiaT75 oder Jia Tan. „Angesichts der mehrwöchigen Aktivität ist der Täter entweder direkt beteiligt oder es gab eine ziemlich schwerwiegende Kompromittierung seines Systems. Leider scheint Letzteres die weniger wahrscheinliche Erklärung zu sein, da auf verschiedenen Listen über die oben genannten „Fixes“ kommuniziert wurde“, schrieb Freund in seiner Analyse, nachdem er mehrere von JiaT75 vorgenommene Problemumgehungen verlinkt hatte.
JiaT75 war ein bekannter Name: Sie hatten eine Zeit lang Seite an Seite mit dem ursprünglichen Entwickler des .xz-Dateiformats, Lasse Collin, zusammengearbeitet. Wie der Programmierer Russ Cox in seiner Chronik feststellte, begann JiaT75 im Oktober 2021 damit, scheinbar legitime Patches an die XZ-Mailingliste zu senden.
Andere Teile des Plans entfalteten sich einige Monate später, als zwei weitere Identitäten, Jigar Kumar und Dennis Ens, damit begannen, Beschwerden per E-Mail an Collin über Fehler und die langsame Entwicklung des Projekts zu senden. Wie jedoch in Berichten von Evan Boehs und anderen festgestellt wurde, wurden „Kumar“ und „Ens“ nie außerhalb der XZ-Community gesehen, was die Ermittler zu der Annahme veranlasste, dass es sich bei beiden um Fälschungen handelte, die nur existierten, um Jia Tan dabei zu helfen, in die Lage zu kommen, den hintertürigen Code auszuliefern.
„Es tut mir leid, dass Sie psychische Probleme haben, aber es ist wichtig, sich Ihrer eigenen Grenzen bewusst zu sein. Ich verstehe, dass dies ein Hobbyprojekt für alle Mitwirkenden ist, aber die Community wünscht sich mehr“, schrieb Ens in einer Nachricht, während Kumar in einer anderen sagte: „Es wird keinen Fortschritt geben, bis es einen neuen Betreuer gibt.“
Inmitten dieses Hin und Her schrieb Collins: „Ich habe das Interesse nicht verloren, aber meine Fähigkeit, mich um mich zu kümmern, war ziemlich eingeschränkt, hauptsächlich aufgrund langfristiger psychischer Probleme, aber auch aufgrund einiger anderer Dinge“, und schlug vor, dass Jia Tan teilnehmen würde auf eine größere Rolle. „Man sollte auch bedenken, dass es sich um ein unbezahltes Hobbyprojekt handelt“, schloss er. Die E-Mails von „Kumar“ und „Ens“ gingen weiter, bis Tan später in diesem Jahr als Betreuer hinzugefügt wurde, der in der Lage war, Änderungen vorzunehmen und zu versuchen, das hintertürige Paket mit mehr Autorität in Linux-Distributionen zu integrieren.
Der XZ-Backdoor-Vorfall und seine Folgen sind ein Beispiel sowohl für die Schönheit von Open Source als auch für eine auffällige Schwachstelle in der Internet-Infrastruktur.
Ein Entwickler von FFmpeg, einem beliebten Open-Source-Medienpaket, wies auf das Problem hin in einem TweetEr sagte: „Das xz-Fiasko hat gezeigt, wie die Abhängigkeit von unbezahlten Freiwilligen große Probleme verursachen kann.“ Billionenschwere Unternehmen erwarten kostenlose und dringende Unterstützung von Freiwilligen.“ Und sie brachten Quittungen mit, in denen sie darauf hinwiesen, wie sie mit einem Fehler mit „hoher Priorität“ umgegangen waren, der Microsoft Teams betraf.
Trotz der Abhängigkeit von Microsoft von seiner Software schreibt der Entwickler: „Nachdem sie höflich um einen Supportvertrag von Microsoft für langfristige Wartung gebeten hatten, boten sie stattdessen eine einmalige Zahlung von ein paar tausend Dollar an … Investitionen in Wartung und Nachhaltigkeit sind unsexy und wahrscheinlich.“ wird einem mittleren Manager zwar nicht die Beförderung verschaffen, sich aber über viele Jahre hinweg tausendfach auszahlen.“
Details darüber, wer hinter „JiaT75“ steckt, wie sie ihren Plan umgesetzt haben und wie groß der Schaden ist, werden von einer Armee von Entwicklern und Cybersicherheitsexperten sowohl in sozialen Medien als auch in Online-Foren ans Licht gebracht. Dies geschieht jedoch ohne direkte finanzielle Unterstützung vieler Unternehmen und Organisationen, die von der Nutzung sicherer Software profitieren.