Albtraum-Hack in der Linux-Lieferkette war von langer Hand vorbereitet
Die Hintertür hatte ein Mitarbeiter am Open-Source-Projekt XZ Utils eingebaut, das die meisten Linux-Distributionen verwenden. Recherchen eines Microsoft-Ingenieurs zufolge wurde der Schadcode bekannt, bevor sich die kompromittierte Software weiterverbreiten konnte.
"Das könnte der am besten ausgeführte Angriff auf die Software-Supply Chain sein, den die Welt bisher gesehen hat, und das ist ein Albtraumszenario", schrieb Filippo Valsorda, ein Kryptographie-Ingenieur und professioneller Betreuer von Open-Source-Projekten, am vergangenen Freitag. Am selben Tag gaben Red Hat und die U.S. Cybersecurity and Infrastructure Security Agency (CISA) eine Warnung heraus: Die beiden letzten Versionen von XZ Utils, einer weit verbreiteten Sammlung von Datenkompressions-Tools und -Bibliotheken in der Linux-Distributionen, seien kompromittiert worden.
Am Samstag dann gab der ursprüngliche Betreuer des XZ Utils-Projekts, Lasse Collins, bekannt, dass den Schadcode ein Projektmitarbeiter namens Jia Tan eingefügt habe. Die manipulierte Software "hat Jia Tan erstellt und signiert", schrieb Collins. Jia Tan, dessen Handle JiaT75 ist, habe vor mindestens zwei Jahren begonnen, Code zu XZ Utils beizutragen, berichtete Sam James, ein Mitarbeiter von Linux-Projekten, in einem GitHub-Post. "Vor etwa eineinhalb Jahren bekam Jia Tan erst Commit-Zugriff und dann Release-Manager-Rechte", schrieb James.
Microsoft-Ingenieur verhindert Albtraum
All dem vorangegangen war der Beitrag des Microsoft-Ingenieurs namens Andres Freund. Darin berichtete er, dass er die Schwachstelle entdeckte, nachdem er "merkwürdiges" Verhalten in Installationen von Debian, einer beliebten Linux-Distribution, bemerkt hatte, etwa dass Logins länger dauerten und mehr CPU-Ressourcen verbrauchten als üblich.
Sicherheitsforscher rechnen Freund hoch an, dass er sich auf die akribische Suchen nach möglichen Ursachen gemacht habe und dabei schließlich die nachträglich eingebaute Hintertür aufdeckte.
Freunds "unglaubliche Liebe zum Detail hat dazu geführt, dass er das bisher öffentlichste Zeugnis eines hoch motivierten Angreifers fand", schrieb Michael Skelton, Vice President of Security Operations and Hacker Success bei Bugcrowd.
Linux-Anbieter Red Hat erklärte, dass die betroffene XZ Utils-Software nicht weit verbreitet sei – mit Ausnahme der Linux-Distributionen, die neue Pakete einspielen, sobald diese verfügbar sind, etwa Fedora Rawhide und Debian Unstable. Der eingepflanzte Schadcode finde sich in den Versionen 5.6.0 und 5.6.1 der XZ Utils-Bibliotheken. Der Code dort war "offenbar dazu gedacht, unbefugten Zugriff zu ermöglichen", so Red Hat.
"Red Hat war zusammen mit der CISA sowie anderen Linux-Distributionen in der Lage, diese potenzielle Bedrohung zu erkennen, zu bewerten und zu beseitigen, bevor sie ein erhebliches Risiko für die breite Linux-Community werden konnte", so Vincent Danen, Vice President of Red Hat Product Security.
Der bösartige Code, der in den neuesten Versionen der XZ-Bibliotheken eingeschleust worden war, zeige "wie wichtig es ist, ein wachsames und erfahrenes Linux-Sicherheitsteam zu haben, das die Software-Lieferkettenkanäle überwacht", erklärte Danen. Auf der Liste der am meisten gefürchteten Hacks steht die Kompromittierung der Software-Supply Chain ganz oben. Die Vergangenheit zeigt warum. Bekannte Beispiele für "geglückte" Kompromittierung sind etwa die Angriffe auf SolarWinds (2020) und Kaseya VSA (2021). Insbesondere der Angriff auf SolarWinds war ein "großer Weckruf für diese Art von Attacken", so Hooman Mohajeri, Vice President of Security Services bei BlueAlly.
Der MSSP gibt zu bedenken, dass Angriffe auf die Software-Lieferkette besonders schwer aufzudecken sind "weil heute so viele Anwendungen Bibliotheken von Drittanbietern nutzen. Es gibt die Bibliotheken von Drittanbietern, und die wiederum nutzen manchmal Bibliotheken von anderen Drittanbietern. Das ist eine der Herausforderungen, die wir bei Problemen in Software-Lieferketten häufiger sehen", so Mohajeri.
Der Angriff auf die Lieferkette von Linux-Software sei genau die Art von Vorfallsrisiko, vor Experten schon länger gewarnt haben, schrieb Ian Coldwater, Kubernetes Security Co-Chair, in einem Beitrag auf X (vormals Twitter). "Dieser Angriff auf die Sicherheit der vorgelagerten Lieferkette ist die Art von Alptraumszenario, für das die Leute, die es so etwas beschreiben, seit Jahren als hysterisch verschrien werden", so Coldwater.
Red Hat forderte Benutzer der Fedora Rawhide Linux-Distribution am Freitag eindringlich dazu auf, damit sofort aufzuhören. "Fedora Rawhide wird in Kürze auf xz-5.4.x zurückgesetzt, und erst wenn das geschieht, können Fedora Rawhide-Instanzen wieder sicher eingesetzt werden", sagte das Unternehmen.
Bis dahin könnte „diese Störung einen böswilligen Angreifer in die Lage versetzen, die Secure Shell Daemon-Authentifizierung zu brechen und unbefugten Fernzugriff auf das gesamte System zu erhalten."
Die CISA empfiehlt Entwicklern und Anwendern, ein Downgrade von XZ Utils auf eine nicht kompromittierte Version - z. B. XZ Utils 5.4.6 Stable - vorzunehmen, nach bösartigen Aktivitäten zu suchen und der CISA alle positiven Ergebnisse zu melden.
Die durch den Supply-Chain-Hack geschaffene Schwachstelle wird nun unter der Kennung CVE-2024-3094 verfolgt.