XZ Utils Backdoor: Sicherheitslücke in der Software-Supply-Chain
Die jüngste Entdeckung einer Backdoor in den Versionen 5.6.0 und 5.6.1 von XZ Utils, einer Reihe von Open-Source-Komprimierungsprogrammen, hat eine bedeutende Debatte über die Sicherheit von Open-Source-Software und die Integrität der Lieferkette ausgelöst. XZ Utils ist für die Komprimierung von Release-Tarballs, Softwarepaketen, Kernel-Images und initramfs-Images (initial ram file system) bekannt. Es reduziert Dateigrößen erheblich und erhält gleichzeitig die Datenintegrität. Das Dienstprogramm ist so weit verbreitet, dass es in der Regel auf den meisten Linux- und macOS-Systemen vorinstalliert ist.
XZ Utils Backdoor ein als Supply-Chain-Angriff
Diese Sicherheitslücke, welche als Supply-Chain-Angriff identifiziert wurde, verdeutlicht die potenziellen Risiken, die mit der Abhängigkeit von Drittanbieter-Bibliotheken verbunden sind, die in weitverbreiteten Softwareprojekten verwendet werden. Sie ist nun als CVE-2024-3094 bekannt mit einem CVSS-Score von 10.
Der Microsoft-Ingenieur und PostgreSQL-Entwickler Andres Freund entdeckte die Sicherheitslücke, als er eine Verzögerung einer SSH-Verbindung bemerkte. In diesem Zusammenhang stellte er fest, dass sshd-Prozesse eine ungewöhnlich hohe Menge an CPU verbrauchten. Dies veranlasste ihn, ein Profil von sshd zu erstellen, wobei er feststellte, dass liblzma übermäßig viel CPU-Zeit verbrauchte. Weitere Untersuchungen führten zur Entdeckung einer Hintertür in xz/liblzma, die er am Freitag, den 29. März 2024, per E-Mail an oss-security schickte. Bösartige Pakete wurden erfolgreich in die Open-Source-Bibliothek xz/liblzma über das von Jia Tan (auch bekannt als Jia Cheong Tan oder JiaT75) verwaltete GitHub-Konto eingebunden. Der Angreifer konnte durch geschicktes Social Engineering und die schrittweise Übernahme der Verantwortung als Maintainer des XZ-Projekts die Hintertür in die Bibliothek einzuschleusen, ohne dabei von der Community entdeckt zu werden.
Fazit
Insgesamt unterstreicht der Vorfall die Notwendigkeit einer verstärkten Aufmerksamkeit für die Sicherheitsaspekte von Open-Source-Software und die Bedeutung von proaktiven Maßnahmen zur Risikominderung und Wiederherstellung der Systemsicherheit.
