Bösartiger Code in XZ-Tools bei Red Hat entdeckt

Red Hat warnt vor Hintertür in XZ-Tools, die von den meisten Linux-Distributionen verwendet werden und schreibt auf seiner Website am Karfreitag: "Bitte stellen Sie umgehend die Nutzung aller Fedora 41 oder Fedora Rawhide Instanzen ein, sei es für Arbeit oder persönliche Aktivitäten". So meldet es auch "Bleepingcomputer".

"Keine Versionen von Red Hat Enterprise Linux (RHEL) sind betroffen. Wir haben Berichte und Beweise dafür, dass die Injektionen in den Versionen xz 5.6.x erfolgreich in Debian unstable (Sid) gebaut wurden. Andere Distributionen könnten ebenfalls betroffen sein."

Kali Linux, openSUSE und Arch Linux hätten ebenfalls Sicherheitshinweise veröffentlicht und Versionen in betroffenen Rolling-Releases zurückgesetzt. Linux-Administratoren können demnach überprüfen, welche Version von XZ installiert ist, indem sie mit ihrem Paketmanager abfragen oder das folgende Shell-Skript ausführen, das von einem Cybersicherheitsforscher namens Kostas geteilt worden sei.

(Source: Screenshot / Bleepingcomputer.com)

Das Skript führt demnach den Befehl 'strings' auf allen Instanzen des xz-Executables aus und gibt dessen eingebettete Version aus, wie Bleepingcomputer weiter berichtet. Mit diesem Befehl könnten User die Version bestimmen, ohne die mit Hintertür versehene Befehlszeile auszuführen.

Wer Versionen 5.6.0 oder 5.6.1 verwende, soll "sofort auf ältere Versionen ohne den bösartigen Code" herabstufen. Ein Softwareingenieur von Microsoft namens Andres Freund entdeckte und dokumentiere das Sicherheitsproblem, während er langsame SSH-Logins auf einem Linux-Box untersuchte, das Debian Sid lief (die Rolling-Development-Version der Debian-Distribution), wie es Bleepingcomputer weiter schreibt.

Allerdings habe er den genauen Zweck des bösartigen Codes, der zur liblzma Datenkompressionsbibliothek in den XZ-Versionen 5.6.0 und 5.6.1 von einem ominösen Contributor Jia Tan (JiaT75) hinzugefügt wurde, noch nicht gefunden. "Ich habe noch nicht genau analysiert, was im injizierten Code überprüft wird, um unbefugten Zugriff zu ermöglichen. Da dies in einem Pre-Authentication-Kontext läuft, scheint es wahrscheinlich, dass es eine Form des Zugriffs oder eine andere Form der Remote-Code-Ausführung ermöglicht", sagte Freund laut Bleepingcomputer. 

"Anfänglich zeigte das Starten von sshd ausserhalb von systemd nicht die Verlangsamung, trotz der kurzzeitigen Aktivierung der Hintertür. Dies scheint Teil einiger Gegenmassnahmen zu sein, um die Analyse zu erschweren."

Red Hat kehrt in Fedora Beta zu XZ 5.4.x zurück

Red Hat verfolgt dieses Supply-Chain-Sicherheitsproblem nun als CVE-2024-3094, hat ihm eine kritische Schweregradbewertung von 10/10 zugewiesen und ist in Fedora 40 Beta zu den Versionen 5.4.x von XZ zurückgekehrt, wie es bei Bleepingcomputer weiter heisst. Der bösartige Code ist demnach verschleiert und kann nur im kompletten Download-Paket gefunden werden, nicht in der Git-Distribution, in der das M4-Makro fehlt, das den Hintertür-Build-Prozess auslöst.

Wenn das bösartige Makro vorhanden ist, werden die Artefakte der zweiten Stufe, die im Git-Repository gefunden werden, während der Build-Zeit injiziert, wie Bleepingcomputer weiter schreibt. "Das resultierende bösartige Build stört die Authentifizierung in sshd über systemd. SSH ist ein häufig verwendetes Protokoll für die Verbindung zu Systemen aus der Ferne, und sshd ist der Dienst, der den Zugang ermöglicht", schreibt Red Hat. "Unter den richtigen Umständen könnte diese Störung es einem böswilligen Akteur potenziell ermöglichen, die sshd-Authentifizierung zu durchbrechen und unbefugten Zugriff auf das gesamte System aus der Ferne zu erlangen."

Die CISA, quasi das NCSC der USA, hat ebenfalls eine Warnung herausgegeben, in der Entwickler und Benutzer darauf hingewiesen werden, auf eine nicht kompromittierte XZ-Version (d.h. 5.4.6 Stable) herunterzustufen und nach jeglicher bösartigen oder verdächtigen Aktivität auf ihren Systemen zu suchen.

Übrigens: Auch die Zahl der ausgenutzten Zero-Day-Lücken nimmt zu, wie Sie hier nachlesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.