Inhaltsverzeichnis
Am 29. März 2024 hat der Open-Source-Anbieter Red Hat bekannt gegeben, dass in den Versionen 5.6.0 und 5.6.1 der „xz"-Tools und -Bibliotheken (Linux-Betriebssysteme) schädlicher Code entdeckt wurde.
Das xz-Format ist ein universelles Datenkomprimierungsformat, das in fast jeder Linux-Distribution zu finden ist. Es erleichtert hauptsächlich die Komprimierung (und anschließende Dekomprimierung) großer Dateiformate in kleinere, wodurch besser handhabbare Größen für den gemeinsamen Gebrauch bei Dateiübertragungen entstehen.
Eingeschleust wurde dieser Code über eine Hintertür (Backdoor) in der Kompressionsbibliothek liblzma, die zu den XZ Utils gehört. Bei dieser wurde beim Build-Prozess der Bibliothek liblzma eine im Quellcode hinterlegte Testdatei extrahiert, aus der eine vorgefertigte Objektdatei Funktionen innerhalb des liblzma-Codes ändert. Als Folge kann die modifizierte liblzma-Bibliothek Daten-Interaktionen abfangen – und zwar von jeder Software, die gegen diese Bibliothek gelinkt ist.
Der SSH-Daemon ist nicht direkt mit der manipulierten Bibliothek verbunden, nutzt jedoch systemd für die Authentifizierung, welches wiederum xy-Komponenten verwendet, wodurch potentiell sehr viele Server im Internet von der Lücke betroffen sind. systemd ist eine Sammlung von Programmen, Hintergrundprogrammen und Bibliotheken für Linux-Betriebssysteme.
Dieser oben genannte schädliche Code ermöglicht es, die Authentifizierung in sshd über systemd zu umgehen, was direkt Zugriffe auf das System ermöglicht, wodurch die Sicherheit und Integrität der betroffenen Systeme gefährdet wird.
Die Schwachstelle wurde unter dem Namen CVE-2024-3094 veröffentlicht.
Die Sicherheitslücke wurde mit der höchstmöglichen CVSS-Bewertung von 10 von 10 als „kritisch" eingestuft.
Durch jahrelange Vorarbeit ist es Angreifern gelungen, den Quellcode der Kompressionssoftware XZ zu kompromittieren.
Über diese Backdoor ist es möglich, durch Umgehen der Authentifizierung in sshd über systemd, Fremdcode auf den Zielsystemen auszuführen.
Die Injektion, die in den Versionen 5.6.0 und 5.6.1 von XZ Utils enthalten ist, ist verschleiert und befindet sich nur im Download-Paket vollständig - in der Git-Distribution fehlt lediglich das Makro, das die Erstellung des Schadcodes auslöst. Dieser Schadcode interagiert dann über systemd bei der Anmeldung des Users am System mit sshd, dem Service, der dem Nutzer Zugang zum System über das SSH-Protokoll gewährt, wodurch ein unberechtigter Zugriff auf das System ermöglicht wird.
Ausfindig gemacht wurde die eingeschleuste Sicherheitslücke vor Ostern von dem deutschen Software-Ingenieur Andres Freund, der in den USA für Microsoft arbeitet. Durch eine Verzögerung von 500 Millisekunden und einer erhöhten Rechenleistung bei einer Remote-Anmeldung wurde die Sicherheitslücke durch einen Datenbank-Experten entdeckt.
Betroffene Systeme und Versionen
- Fedora 40 oder Fedora Rawhide mit XZ in Version 5.6.0 oder 5.6.1
- Distribution mit glibc
- Besonders .deb- und .rpm- Distributionen sind betroffen
Ihre XY-Version können Sie mit folgendem Command auf Ihrem Linux-System prüfen: xz -V
Updates sind dringend angeraten.
Die amerikanische CISA (Cybersecurity & Infrastructure Security Agency) empfiehlt ein Downgrade zu Version 5.4.6.
