Die versteckte Gefahr in der xz-Bibliothek: Ein Alarmruf für SSH-Verbindungen

Eine unerwartete Entdeckung erschüttert die Security-Community


Ein Entwickler stolperte eines Tages über eine Hintertür in der liblzma-Bibliothek. Seine ursprüngliche Mission war es, den Grund für mysteriöse Leistungseinbußen bei SSH-Verbindungen zu finden. Jedoch offenbarte seine Suche eine weitaus gravierendere Sicherheitslücke.



Die Reaktion der Linux-Gemeinschaft: Entwarnung mit Einschränkungen


Die führenden Linux-Distributionen gaben bekannt, dass ihre stabilen Versionen nicht betroffen sind. Doch in diversen Linux-Varianten, den Unstable-Versionen und speziell in der Homebrew-Ansammlung für macOS fand man die heimtückische Backdoor vor. Die Nutzbarkeit der Backdoor in diesen Versionen bleibt jedoch fraglich.



Die Rolle der liblzma-Bibliothek in modernen Linux-Systemen


Die liblzma-Bibliothek, eine eher unbekannte jedoch dennoch fundamentale Komponente für Linux-Systeme, ermöglicht das Arbeiten mit gepackten Dateien im xz-Format. Ihr Einsatz reicht von systemd-basierten Distributionen bis hin zu verschiedenen Paketformaten die den xz-Packer zur Datenkompression verwenden.



Der Aufdeckungsprozess der Hintertür


Andres Freund entdeckte. Dass Hintertür ausschließlich in den Quellcode-Paketen einiger liblzma-Versionen eingebettet war. Interessanterweise blieb sie im offiziellen Git-Repository des Projekts unentdeckt. Die genaue Funktion und ob sie bereits missbraucht wurde bleibt unklar.



Der Drahtzieher hinter der Backdoor


Ein Entwickler namens Jia Tan der im Kontext von liblzma auffallend aktiv war, wird als Verantwortlicher für die Hintertür genannt. Er und möglicherweise erfundene Mitstreiter brachten den Hauptentwickler von liblzma unter Druck, das Projekt abzugeben – ein Vorhaben, das im Juni 2022 ebenfalls umgesetzt wurde.



Die Auswirkungen der Backdoor


Im Februar dieses Jahres baute Jia Tan die getarnte Hintertür ein. Sie ist darauf ausgelegt; die Authentifizierungsfunktion von OpenSSH zu schwächen oder komplett zu umgehen. Eine vollständige Analyse des Codes steht noch aus, allerdings ist bekannt, dass die Backdoor aktiv wird, sobald "/usr/sbin/sshd" erkannt wird.



Reaktionen & Gegenmaßnahmen der Community


Debian, Ubuntu Fedora und andere Distributionen haben reagiert indem sie zu sicheren Versionen zurückkehrten oder Updates empfahlen. Besonders Fedora-Nutzer der Version 40 wurden dringend zu einem Update aufgerufen.



Kali, Arch Linux und andere fordern zu Updates auf


Distributionen wie Kali & Arch Linux warnen vor der potenten Gefahr durch die Hintertür und raten dringend zu umgehenden Updates. Distributionen wie Gentoo empfehlen sogar ein Downgrade auf sichere Versionen.



Ein Werkzeug zur Entdeckung


Für die Ermittlung einer potentiell anfälligen liblzma-Version auf dem eigenen System hat der Entdecker der Hintertür ein Bash-Skript entwickelt. Es bietet zwar keine absolute Sicherheit kann aber als erster Indikator dienen.



Die andauernde Unruhe in der Security-Szene


Die Möglichkeit, dass Unbekannte durch gefälschte Identitäten Kontrolle über Open-Source-Projekte gewinnen können, beunruhigt die Sicherheitscommunity zutiefst. Die Erkenntnis, dass einzelne Projektmitarbeiter häufig die komplette Codebasis verantworten müssen, wirft weitere Bedenken auf.



*(Anm. der Redaktion: Wir bleiben an der Entwicklung dran und aktualisieren diesen Artikel, sobald neue Informationen zur Verfügung stehen.)*






Kommentare


Anzeige