Bösartiger Code in Linux-Distributionen entdeckt

Eine in XZ Utils implantierte Hintertür hat ihren Weg in beliebte Linux-Distributionen gefunden.

Unbekannte Akteure haben bösartigen Code in die Versionen 5.6.0 und 5.6.1 des Open-Source-Komprimierungsprogramms XZ Utils eingeschleust. Zudem ist es den trojanisierten Tools gelungen, ihren Weg in mehrere populäre Linux-Builds zu finden, die im März dieses Jahres veröffentlicht wurden, sodass dieser Vorfall als Angriff auf die Versorgungskette betrachtet werden könnte. Diese Sicherheitslücke wurde CVE-2024-3094 zugeordnet.

Was macht dieses bösartige Implantat so gefährlich?

Zunächst behaupteten verschiedene Forscher, dass diese Hintertür es Angreifern ermöglicht, die Authentifizierung von sshd (dem OpenSSH-Serverprozess) zu umgehen und aus der Ferne unbefugten Zugriff auf das Betriebssystem zu erhalten. Nach neuesten Informationen sollte diese Schwachstelle jedoch nicht als „Authentifizierungsumgehung“, sondern als „Remote Code Execution“ (RCE) eingestuft werden. Die Hintertür fängt die Funktion RSA_public_decrypt ab, verifiziert die Signatur des Hosts mit dem festen Schlüssel Ed448 und führt bei erfolgreicher Verifizierung bösartigen Code aus, der vom Host über die Funktion system() übergeben wird, ohne Spuren in den sshd-Protokollen zu hinterlassen.

 

Welche Linux-Distributionen enthalten bösartige Dienstprogramme und welche sind sicher?

Es ist bekannt, dass die XZ Utils Versionen 5.6.0 und 5.6.1 in den März-Builds der folgenden Linux-Distributionen enthalten waren:

  • Kali Linux, aber laut dem offiziellen Blog nur diejenigen, die zwischen dem 26. und 29. März verfügbar waren (der Blog enthält auch Anweisungen, wie Sie nach verwundbaren Versionen von Dienstprogrammen suchen können);
  • openSUSE Tumbleweed und openSUSE MicroOS, verfügbar vom 7. bis 28. März;
  • Fedora 41, Fedora Rawhide, und Fedora Linux 40 beta;
  • Debian (nur testing, unstable und experimentelle Distributionen);
  • Arch Linux – Container-Images verfügbar vom 29. Februar bis 29. März. Auf der Website org heißt es jedoch, dass dieser Angriffsvektor aufgrund seiner Implementierungsbesonderheiten in Arch Linux nicht funktioniert. Dennoch wird dringend empfohlen, das System zu aktualisieren.

Offiziellen Informationen zufolge sind Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise, openSUSE Leap und Debian Stable nicht gefährdet. Bei anderen Distributionen wird empfohlen, sie manuell auf das Vorhandensein von trojanisierten Versionen von XZ Utils zu überprüfen.

Wie konnte der bösartige Code in die XZ Utils eingeschleust werden?

Offenbar handelte es sich um einen typischen Fall von Kontrollübergabe. Die Person, die das Projekt XZ Libs ursprünglich auf GitHub verwaltet hat, hat die Kontrolle über das Repository an ein Konto weitergegeben, das seit mehreren Jahren zu einer Reihe von Repositories im Bereich der Datenkompression beiträgt. Und irgendwann hat jemand hinter diesem anderen Konto eine Hintertür in den Code des Projekts eingebaut.

Die Beinahe-Epidemie, die nie stattfand

Laut Igor Kuznetsov, Leiter unseres Global Research and Analysis Team (GReAT), könnte die Ausnutzung von CVE-2024-3094 der größte Angriff auf das Betriebssystem Linux in seiner gesamten Geschichte gewesen sein. Das liegt daran, dass er in erster Linie auf SSH-Server abzielte – das wichtigste Remote-Management-Tool aller Linux-Server im Internet. Wäre er in stabilen Distributionen gelandet, hätten wir wahrscheinlich eine große Anzahl von Server-Hacks erlebt. Glücklicherweise wurde CVE-2024-3094 jedoch in den Test- und Rolling-Distributionen bemerkt – wo die neuesten Softwarepakete verwendet werden. Das heißt, die meisten Linux-Benutzer blieben sicher. Bislang haben wir noch keine Fälle entdeckt, in denen CVE-2024-3094 tatsächlich ausgenutzt wurde.

So bleiben Sie sicher?

Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) empfiehlt allen, die im März betroffene Betriebssysteme installiert oder aktualisiert haben, XZ Utils sofort auf eine frühere Version (z.B. Version 5.4.6) herunterzustufen. Und auch nach bösartigen Aktivitäten zu suchen.

Wenn Sie eine Distribution mit einer verwundbaren Version von XZ Utils installiert haben, ist es außerdem sinnvoll, alle Anmeldeinformationen zu ändern, die von den Bedrohungsakteuren möglicherweise aus dem System gestohlen werden könnten.

Sie können das Vorhandensein einer Sicherheitslücke mit der Yara-Regel für CVE-2024-3094 erkennen.

Wenn Sie den Verdacht haben, dass sich ein Angreifer Zugang zur Infrastruktur Ihres Unternehmens verschafft hat, empfehlen wir Ihnen, den Dienst Kaspersky Compromise Assessment zu nutzen, um frühere oder laufende Angriffe aufzudecken.

Tipps