Hintertür in xz-Bibliothek gefährdet SSH-Verbindungen

Die Security-Community ist alarmiert: Wie ein Entwickler eher zufällig aufdeckte – er forschte nach der Ursache mysteriöser Leistungsprobleme bei SSH-Verbindungen –, steckt in der liblzma-Bibliothek eine Hintertür. Zwar gaben die großen Linux-Distributionen Entwarnung für ihre stabilen Versionen, in verschiedenen Linux-Varianten, Unstable-Versionen sowie in der Homebrew-Werkzeugsammlung für macOS steckte die Backdoor jedoch. Sie ist dort allerdings nicht unbedingt ausnutzbar.

Die Bibliothek "liblzma" gehört sicher nicht zu den bekanntesten Funktionssammlungen für offene Betriebssysteme – sie dient zum Verarbeiten gepackter Dateien im xz-Format. Dennoch ist sie ein untrennbarer Bestandteil jeder auf systemd basierenden Linux-Distribution, da der Systemdienst die Bibliothek verwendet. Auch nutzen verschiedene Paketformate wie .deb und Fedora-RPMs den xz-Packer zur Kompression der Paketdaten.

Wie der Entdecker Andres Freund herausgefunden hat, befindet sich die Hintertür ausschließlich in den Quellcode-Paketen für verschiedene liblzma-Versionen, ist im Git-Repository des Projekts also nicht zu finden. Was genau die Hintertür bewirkt und ob sie bereits aktiv von Angreifern ausgenutzt wird, ist zur Stunde noch unklar. Bekannt ist jedoch der Urheber, ein Entwickler namens "Jia Tan", der gemeinsam mit einigen anderen – möglicherweise gefälschten – Entwicklerkonten ein sehr aktiver Mitarbeiter des liblzma-Projekts war.

Die mutmaßliche Verschwörung übte im Juni 2022 starken Druck auf den Hauptentwickler von liblzma aus, das Projekt in "aktivere Hände" zu geben, was dann auch passierte. Im Februar dieses Jahres versteckte Jia Tan dann die gut getarnte Hintertür, die vermutlich die Authentifizierungsfunktion von OpenSSH schwächt oder außer Kraft setzt. Die Backdoor aktiviert sich nur dann, wenn sie den Programmnamen "/usr/sbin/sshd" erkennt. Zur Stunde gibt es noch keine vollständige Analyse des Backdoor-Codes, die Redaktion verfolgt die Analyse aber weiter. Auf Github gibt es eine FAQ zur xz-Backdoor. Auch eine CVE-ID für die Hintertür gibt es bereits: CVE-2024-3094.

Die großen Linux-Distributionen Debian, Ubuntu und Fedora haben den schadhaften Code lediglich in ihren Test-Versionen wie etwa Debian Sid ausgeliefert und sich wieder auf sichere Versionen zurückgezogen. Fedora ruft sicherheitshalber jedoch auch Nutzer der Version 40 zum Update auf. Der macOS-Paketmanager Homebrew jedoch nutzte die trojanisierte Version der xz-Werkzeuge ebenfalls in verschiedenen Anwendungen – die Entwickler haben auch hier einen Rollback auf eine sichere Version vollzogen.

Kali, Arch und andere betroffen

Das Pentesting-Linux Kali und Arch Linux warnen Nutzer ebenfalls vor Hintertüren in aktuellen Versionen ihrer Distribution und drängen auf zügige Updates. Ähnlich gehen auch andere Distributionen vor, wie beispielsweise Gentoo, das ein Downgrade auf eine nicht betroffene Paketversion empfiehlt. Weitere Distributionen dürften folgen – Administratoren werden über das Osterwochenende die Entwicklung bei ihrer favorisierten Linux-Geschmacksrichtung im Auge behalten müssen. Vermutlich war die Hintertür in vielen dieser Fälle nicht ausnutzbar oder nicht einmal aktiv, weil dafür verschiedene Umstände zusammenkommen müssen. Dennoch sind Anwender gut beraten, verfügbare Updates schnellstmöglich einzuspielen, insbesondere, weil die Funktionsweise der Hintertür noch nicht vollständig verstanden ist. Der Finder der Hintertür hat ein Bash-Skript geschrieben, um eine potentiell anfällige liblzma-Version auf dem eigenen System zu finden. Es bietet zwar keine vollständige Sicherheit, jedoch einen ersten Anhaltspunkt.

Die Security-Szene ist derweil weiter in Alarmstimmung. Dass ein Unbekannter mithilfe möglicherweise gefälschter Spießgesellen die Kontrolle über ein Open-Source-Projekt übernehmen und Schadcode einschleusen kann, wirft ein Schlaglich auf die prekäre Situation vieler, vor allem kleinerer Projekte. Dass ein einzelner Projektbeteiligter die Verantwortung für den gesamten Programmcode trägt und das ehrenamtlich, ist keine ungewöhnliche, doch aber eine potenziell schädliche Situation.

(Anm. der Redaktion: Die Situation rund um die liblzma-Lücke entwickelt sich sehr schnell und ist aktuell sehr unübersichtlich. Wir werden diese Meldung im Laufe der nächsten Stunden aktualisieren um eine zweite Meldung ergänzen, sollten sich weitere Entwicklungen ergeben.)

(cku)