Linux, das weltweit am weitesten verbreitete Open-Source-Betriebssystem, konnte am Osterwochenende dank eines Freiwilligen nur knapp einem massiven Cyberangriff entkommen.
Die Hintertür wurde in eine aktuelle Version eines Linux-Komprimierungsformats namens XZ Utils eingefügt, ein Tool, das außerhalb der Linux-Welt wenig bekannt ist, aber in fast allen Linux-Distributionen verwendet wird, um große Dateien zu komprimieren und so die Übertragung zu erleichtern. Hätte es sich weiter verbreitet, hätten unzählige Systeme über Jahre hinweg kompromittiert bleiben können.
Und wie Ars Technica Wie er in seiner ausführlichen Zusammenfassung feststellte, arbeitete der Täter im Verborgenen an dem Projekt.
Die in die Linux-Remote-Verbindung eingefügte Schwachstelle machte sich nur einem einzigen Schlüssel auszusetzen, um sich vor Scans öffentlicher Computer verstecken zu können. Wie Ben Thompson schreibt Strategie. „Die Mehrheit der Computer auf der Welt wäre angreifbar und niemand würde davon erfahren.“
Die Geschichte, wie die XZ-Hintertür entdeckt wurde, beginnt am frühen Morgen des 29. März, als der in San Francisco ansässige Microsoft-Entwickler Andres Freund auf Mastodon postete und eine E-Mail an OpenWall mit dem Titel schickte: „Hintertür im Upstream xz/liblzma führt zu SSH-Server-Kompromittierung.“ .
Freund, der sich ehrenamtlich als „Maintainer“ für PostgreSQL, eine Linux-basierte Datenbank, engagiert, ist in den letzten Wochen bei Tests einige seltsame Dinge aufgefallen. Verschlüsselte Verbindungen zu liblzma, Teil der XZ-Komprimierungsbibliothek, verbrauchten eine Menge CPU. Keines der von ihm verwendeten Performance-Tools verriet etwas, schrieb Freund auf Mastodon. Das machte ihn sofort misstrauisch und er erinnerte sich an eine „seltsame Beschwerde“ eines Postgres-Benutzers einige Wochen zuvor über Valgrind, das Linux-Programm, das auf Speicherfehler prüft.
Nach einigen Recherchen fand Freund schließlich heraus, was los war. „Das Upstream-XZ-Repository und die XZ-Archive wurden gekapert“, bemerkte Freund in seiner E-Mail. Der Schadcode wurde in den Versionen 5.6.0 und 5.6.1 der xz-Tools und -Bibliotheken gefunden.
Kurz darauf schickte das Open-Source-Softwareunternehmen für Unternehmen Red Hat eine Notfall-Sicherheitswarnung an Benutzer von Fedora Rawhide und Fedora Linux 40. Schließlich kam das Unternehmen zu dem Schluss, dass die Betaversion von Fedora Linux 40 zwei betroffene Versionen der xz-Bibliotheken enthielt. Fedora Rawhide-Versionen erhielten wahrscheinlich auch die Versionen 5.6.0 oder 5.6.1.
BITTE STOPPEN SIE SOFORT DIE VERWENDUNG VON FEDORA RAWHIDE-INSTANZEN für geschäftliche oder private Zwecke. Fedora Rawhide wird bald auf xz-5.4.x zurückgesetzt, und sobald dies erledigt ist, können Fedora Rawhide-Instanzen sicher erneut bereitgestellt werden.
Obwohl eine Betaversion von Debian, der kostenlosen Linux-Distribution, kompromittierte Pakete enthielt, reagierte das Sicherheitsteam schnell und machte sie rückgängig. „Derzeit sind keine stabilen Versionen von Debian betroffen“, schrieb Salvatore Bonaccorso von Debian am Freitagabend in einer Sicherheitswarnung an Benutzer.
Anschließend identifizierte Freund die Person, die den Schadcode übermittelte, als einen der beiden Hauptentwickler von xz Utils, bekannt als JiaT75 oder Jia Tan. „Angesichts der Aktivitäten, die über mehrere Wochen hinweg stattgefunden haben, ist entweder die für den Commit verantwortliche Person direkt beteiligt oder ihr System wurde ernsthaft kompromittiert. Leider scheint Letzteres die weniger wahrscheinliche Erklärung zu sein, da sie auf verschiedenen Listen über die oben genannten „Fixes“ kommuniziert haben“, schrieb Freund in seiner Analyse, nachdem er mehrere von JiaT75 erstellte Workarounds verlinkt hatte.
JiaT75 war ein bekannter Name: Sie arbeiteten seit einiger Zeit Seite an Seite mit dem ursprünglichen Entwickler des .xz-Dateiformats, Lasse Collin. Wie der Programmierer Russ Cox in seiner Chronik feststellte, begann JiaT75 im Oktober 2021 damit, scheinbar legitime Patches an die XZ-Mailingliste zu senden.
Andere Teile des Projekts entfalteten sich einige Monate später, als zwei andere Identitäten, Jigar Kumar und Dennis Ens, begannen, Collin per E-Mail Beschwerden über Fehler und die langsame Entwicklung des Projekts zu schicken. Wie jedoch in Berichten von Evan Boehs und anderen festgestellt wurde, wurden „Kumar“ und „Ens“ nie außerhalb der XZ-Community gesehen, was die Ermittler zu der Annahme veranlasste, dass es sich bei den beiden um Fälschungen handelte, die nur existierten, um Jia Tan dabei zu helfen, sich in die Lage zu versetzen, etwas zu übermitteln der gekaperte Code.
„Es tut mir leid, dass Sie psychische Probleme haben, aber es ist wichtig, sich Ihrer eigenen Grenzen bewusst zu sein. Ich verstehe, dass dies ein Hobbyprojekt für alle Mitwirkenden ist, aber die Community wünscht sich mehr“, schrieb Ens in einem Beitrag, während Kumar in einem anderen sagte, dass „es erst Fortschritte geben wird, wenn eine neue Person die Leitung übernimmt.“
Inmitten dieses Hin und Her schrieb Collins: „Ich habe das Interesse nicht verloren, aber meine Fähigkeit, für mich selbst zu sorgen, war ziemlich eingeschränkt, hauptsächlich aufgrund langfristiger psychischer Probleme, aber auch aus anderen Gründen“, und deutete dies an Jia Tan würde sich um ihn kümmern. auf eine wichtigere Rolle. „Man sollte auch bedenken, dass es sich um ein unbezahltes Hobbyprojekt handelt“, schloss er. Die E-Mails von „Kumar“ und „Ens“ gingen weiter, bis später in diesem Jahr Tan als Manager hinzugefügt wurde, der in der Lage war, Änderungen vorzunehmen und zu versuchen, das gestohlene Paket mit größerer Autorität in die Linux-Distributionen zu integrieren.
Der xz-Backdoor-Vorfall und seine Folgen sind ein Beispiel sowohl für die Schönheit von Open Source als auch für eine auffällige Schwachstelle in der Internet-Infrastruktur.
Ein Entwickler von FFmpeg, einem beliebten Open-Source-Medienpaket, wies auf das Problem hin in einem TweetDarin heißt es: „Das xz-Fiasko hat gezeigt, wie die Abhängigkeit von unbezahlten Freiwilligen große Probleme verursachen kann.“ Milliardenschwere Unternehmen erwarten kostenlose und dringende Unterstützung von Freiwilligen. Und sie brachten Quittungen mit, in denen sie hervorhoben, wie sie einen Fehler mit „hoher Priorität“ behoben haben, der Microsoft Teams betraf.
Trotz der Abhängigkeit von Microsoft von seiner Software schreibt der Entwickler: „Nachdem sie Microsoft höflich um einen Supportvertrag für die langfristige Wartung gebeten hatten, boten sie stattdessen eine einmalige Zahlung von ein paar tausend Dollar an … Investitionen in Wartung und Nachhaltigkeit sind nicht sexy.“ Und wahrscheinlich wird ein mittlerer Manager zwar nicht befördert, dafür aber über viele Jahre hinweg tausendfach belohnt.
Details darüber, wer hinter „JiaT75“ steckt, wie sie ihren Plan umgesetzt haben und wie groß der Schaden ist, werden von einer Armee von Entwicklern und Cybersicherheitsexperten sowohl in sozialen Medien als auch in Online-Foren aufgedeckt. Dies geschieht jedoch ohne die direkte finanzielle Unterstützung vieler Unternehmen und Organisationen, die von der Möglichkeit zum Einsatz sicherer Software profitieren.