In der Welt der IT-Sicherheit gab es kürzlich einen aufsehenerregenden Vorfall: die sogenannte „XZ-Backdoor“. In diesem Blogbeitrag möchte ich Verlauf, die aktuelle Situation und die Problematik dieser Backdoor ganz kurz mit weiteren Verweisen beleuchten.
Update: Das BSI hat inzwischen mit einem Hinweis und der Einstufung IT-Sicherheitslage 3 / Orange reagiert.
Historie der XZ-Backdoor
Die XZ-Backdoor betrifft die XZ Utils 5.6.0 und 5.6.1, ein beliebtes Kompressionstool und die dazugehörige Bibliothek liblzma. Der Ursprung des Problems liegt in der Veröffentlichung dieser Versionen im Februar 2024, die von Jia Tan erstellt und signiert wurden. Die Backdoor wurde erstmals im März 2024 von dem Sicherheitsforscher Andres Freund entdeckt und gemeldet unter der Sicherheitslücke CVE-2024-3094.
Funktionsweise der Backdoor
Die Backdoor in liblzma ist besonders ausgeklügelt, da sie es Angreifern ermöglicht, eigenen Code auf den Zielsystemen auszuführen, der zuvor getarnt übertragen wird. Der Schadcode wird bei der Einrichtung einer SSH-Verbindung auf einem betroffenen Server übertragen und ausgeführt. Diese Tarnung macht es extrem schwierig, einen effektiven Netzwerk-Scanner zur Erkennung der Backdoor zu entwickeln.
Aktuelle Lage
Zahlreiche Linux-Distributionen waren von dieser Backdoor betroffen. Red Hat und SUSE haben rasch reagiert und Updates bereitgestellt, um die gefährdeten Versionen zu ersetzen. Es wurde dringend empfohlen, entweder auf eine sichere Version herunterzustufen oder die Verwendung von SSH vorübergehend zu deaktivieren. Die Backdoor scheint jedoch nicht in stabilen Versionen von Debian oder Ubuntu vorhanden zu sein, sondern war in deren Test- und instabilen Versionen integriert.
Das eigentliche Problem
Die XZ-Backdoor ist ein besorgniserregender Vorfall im Bereich der Software-Sicherheit und hebt das Risiko von Supply-Chain-Angriffen hervor. Es zeigt, wie Angreifer die Offenheit und Vertrauensbasis in der Open-Source-Community ausnutzen können, um schädlichen Code in weitverbreitete Software zu integrieren. Dieser Vorfall macht deutlich, dass (weiterhin!) eine stärkere Überwachung und Validierung von Beiträgen zu Open-Source-Projekten notwendig ist, um ähnliche Vorfälle in der Zukunft zu vermeiden.
Zugleich bedeutet dies ein juristisches Risiko, wenn entsprechende Umgebungen nicht sofort – etwa durch einen Rollback – angegangen werden!
Abschließend kann gesagt werden, dass die XZ-Backdoor ein Weckruf für die Open-Source-Gemeinschaft und die IT-Sicherheitsbranche ist. Sie unterstreicht die Notwendigkeit verstärkter Sicherheitsmaßnahmen und einer sorgfältigen Prüfung von Software-Updates, insbesondere in einer Welt, in der Open-Source-Software zunehmend die Grundlage unserer digitalen Infrastruktur bildet.
- Captagon im deutschen Strafrecht: Ein Überblick - 8. Oktober 2024
- Perfctl: Neue, heimtückische Malware, die Millionen von Linux-Servern bedroht - 7. Oktober 2024
- Datenschutzverstöße durch E-Mail-Weiterleitung: Haftungsrisiken für Geschäftsführer - 6. Oktober 2024