XZ-Backdoor

In der Welt der IT-Sicherheit gab es kürzlich einen aufsehenerregenden Vorfall: die sogenannte „XZ-Backdoor“. In diesem Blogbeitrag möchte ich Verlauf, die aktuelle Situation und die Problematik dieser Backdoor ganz kurz mit weiteren Verweisen beleuchten.

Update: Das BSI hat inzwischen mit einem Hinweis und der Einstufung IT-Sicherheitslage 3 / Orange reagiert.

Historie der XZ-Backdoor

Die XZ-Backdoor betrifft die XZ Utils 5.6.0 und 5.6.1, ein beliebtes Kompressionstool und die dazugehörige Bibliothek liblzma. Der Ursprung des Problems liegt in der Veröffentlichung dieser Versionen im Februar 2024, die von Jia Tan erstellt und signiert wurden. Die Backdoor wurde erstmals im März 2024 von dem Sicherheitsforscher Andres Freund entdeckt und gemeldet unter der Sicherheitslücke CVE-2024-3094.

Funktionsweise der Backdoor

Die Backdoor in liblzma ist besonders ausgeklügelt, da sie es Angreifern ermöglicht, eigenen Code auf den Zielsystemen auszuführen, der zuvor getarnt übertragen wird. Der Schadcode wird bei der Einrichtung einer SSH-Verbindung auf einem betroffenen Server übertragen und ausgeführt. Diese Tarnung macht es extrem schwierig, einen effektiven Netzwerk-Scanner zur Erkennung der Backdoor zu entwickeln.

Aktuelle Lage

Zahlreiche Linux-Distributionen waren von dieser Backdoor betroffen. Red Hat und SUSE haben rasch reagiert und Updates bereitgestellt, um die gefährdeten Versionen zu ersetzen. Es wurde dringend empfohlen, entweder auf eine sichere Version herunterzustufen oder die Verwendung von SSH vorübergehend zu deaktivieren. Die Backdoor scheint jedoch nicht in stabilen Versionen von Debian oder Ubuntu vorhanden zu sein, sondern war in deren Test- und instabilen Versionen integriert.

Das eigentliche Problem

Die XZ-Backdoor ist ein besorgniserregender Vorfall im Bereich der Software-Sicherheit und hebt das Risiko von Supply-Chain-Angriffen hervor. Es zeigt, wie Angreifer die Offenheit und Vertrauensbasis in der Open-Source-Community ausnutzen können, um schädlichen Code in weitverbreitete Software zu integrieren. Dieser Vorfall macht deutlich, dass (weiterhin!) eine stärkere Überwachung und Validierung von Beiträgen zu Open-Source-Projekten notwendig ist, um ähnliche Vorfälle in der Zukunft zu vermeiden.

Zugleich bedeutet dies ein juristisches Risiko, wenn entsprechende Umgebungen nicht sofort – etwa durch einen Rollback – angegangen werden!

Abschließend kann gesagt werden, dass die XZ-Backdoor ein Weckruf für die Open-Source-Gemeinschaft und die IT-Sicherheitsbranche ist. Sie unterstreicht die Notwendigkeit verstärkter Sicherheitsmaßnahmen und einer sorgfältigen Prüfung von Software-Updates, insbesondere in einer Welt, in der Open-Source-Software zunehmend die Grundlage unserer digitalen Infrastruktur bildet.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.