Experten betrachten die Backdoor in liblzma als einen der ausgeklügelsten Supply-Chain-Angriffe bisher. Sie ermöglicht es Angreifern, ferngesteuerte Befehle einzuschleusen.

Nach der Entdeckung einer Hintertür in den xz-Tools, die in vielen Open-Source-Plattformen enthalten sind, sind weitere Details über den Angriff ans Licht gekommen. Die Backdoor erlaubt es Angreifern, ihren eigenen Code auf den betroffenen Systemen auszuführen, den sie zuvor geschickt versteckt haben. Die Entwicklung eines Netzwerkscanners zur Erkennung der Backdoor gestaltet sich derzeit als schwierig.

Clevere Hintertür führt Schadcode aus

Der Sicherheitsexperte und Kryptograf Filippo Valsorda analysiert die Hintertür in einem Diskussionsfaden auf der Social-Media-Plattform BlueSky. Die Hintertür ist bemerkenswert einfallsreich gestaltet und nutzt einen RSA-Schlüssel als Transportmedium für den Schadcode. Dieser wird bereits beim Aufbau einer neuen SSH-Verbindung zu einem Server mit trojanisierten xz-Bibliotheken übertragen, während des Schlüsselaustauschs überprüft, entschlüsselt und schließlich ausgeführt wird.

Projektübernahme mit Psychotricks

Der Angriff scheint von langer Hand geplant gewesen zu sein. Der Angreifer mit dem Pseudonym „Jia Tan“ erstellte sein Github-Konto im Jahr 2021 und konzentrierte sich ab 2022 auf das xz-Projekt. Er erlangte die Kontrolle über das Projekt und drängte Linux-Distributionen, die von ihm präparierten Versionen der Pakete zu übernehmen. Ein weiterer Komplize mit dem Pseudonym „Hans Jansen“ warb bei Debian für die Aktualisierung des Pakets unter dem Vorwand, ein Problem mit dem Programmier-Werkzeugkasten Valgrind zu beheben, das jedoch erst durch den Einbau der Hintertür auftrat.

Betroffene Distributionen

Aktualisierte Pakete für OpenSUSE „Tumbleweed“ stehen bereits zur Verfügung. In stabile Debian- oder Ubuntu-Versionen hat die Hintertür es nicht geschafft, jedoch in Debian „testing“ und „unstable“. Andere betroffene Linux-Varianten sind ebenfalls identifiziert worden.

Lücken veröffentlichen: Ja oder nein?

Auf der Mailingliste oss-security entbrannte eine Diskussion hochrangiger Security-Experten über das Für und Wider von Sicherheitslücken. Während einige für eine Offenlegung plädieren, betonen andere die Wichtigkeit von Kommunikationssperren. Der Entdecker, Andres Freund, gab zu Protokoll, dass er die Verschwörung nur aufgrund „einer Reihe von Zufällen“ entdeckt habe.

Reaktion der Entwickler und Projektleiter

Der Projektleiter des xz-Projekts, Lasse Collin, hat sich aus einer selbst verordneten Internet-Auszeit zu Wort gemeldet und einige der durch Jia Tan gemachten Änderungen rückgängig gemacht. Die Konten des Projekts und der Entwickler Tan und Collin bei Github sind derzeit gesperrt.

Die Identität der Täter ist noch ungewiss, aber die Komplexität des Angriffs deutet auf einen möglichen staatlich gelenkten Angriff hin. Die Untersuchungen sind im Gange, um die Verantwortlichen zu finden.

Wir bleiben weiterhin über die neuesten Entwicklungen zu diesem Vorfall auf dem Laufenden.