Wie ein Freiwilliger eine Hintertür daran hinderte, Linux-Systeme auf der ganzen Welt offenzulegen

Linux, das weltweit am weitesten verbreitete Open-Source-Betriebssystem, konnte am Osterwochenende dank eines Freiwilligen nur knapp einem massiven Cyberangriff entkommen.

Die Hintertür ist in einer aktuellen Version des Linux-Komprimierungsformats namens XZ Utils enthalten, einem Tool, das außerhalb der Linux-Welt wenig bekannt ist, aber in fast jeder Linux-Distribution verwendet wird, um große Dateien zu komprimieren und so die Übertragung zu erleichtern. Hätte sich das Virus weiter ausgebreitet, hätten unzählige Systeme über Jahre hinweg angreifbar bleiben können.

Und wie Ars Technica bemerkt in Umfassende ZusammenfassungDer Täter arbeitete öffentlich an dem Projekt.

Die Schwachstelle, die in die Linux-Remote-Anmeldung eingeführt wurde, war nur einem einzigen Schlüssel ausgesetzt und konnte daher vor öffentlichen Computerscans verborgen bleiben. wie Ben Thompson schreibt unter Strachry. „Die meisten Computer der Welt werden angreifbar sein und niemand wird es erfahren.“

Die Geschichte der Entdeckung der XZ-Hintertür beginnt am frühen Morgen des 29. März, als der in San Francisco ansässige Microsoft-Entwickler Anders Freund auf Mastodon und postete Ich habe eine Email gesendet An die OpenWall-Sicherheitsmailingliste mit dem Titel: „xz/liblzma-Upstream-Backdoor führt zu SSH-Server-Kompromittierung.“

Freund, der ehrenamtlich als „Supervisor“ bei PostgreSQL, einer Linux-basierten Datenbank, arbeitet, bemerkte in den letzten Wochen bei Tests einige seltsame Dinge. Verschlüsselte Anmeldungen bei liblzma, Teil der XZ-Komprimierungsbibliothek, verbrauchten viel CPU. Keines der von ihm verwendeten Performance-Tools verriet etwas“, schrieb Freund in Mastodon. Dies weckte sofort seinen Verdacht und er erinnerte sich an eine „seltsame Beschwerde“ eines Postgres-Benutzers einige Wochen zuvor über Valgrind, ein Linux-Programm, das auf Speicherfehler prüft.

Nach einigen Nachforschungen fand Freund schließlich heraus, was los war. „XZ Warehouse und XZ Tar Balls haben wieder geschlossen“, bemerkte Freund in seiner E-Mail. Der Schadcode war in den Versionen 5.6.0 und 5.6.1 der xz-Tools und -Bibliotheken vorhanden.

Kurz darauf schickte das Open-Source-Softwareunternehmen Red Hat eine Nachricht Notfall-Sicherheitsalarm Für Benutzer von Fedora Rawhide und Fedora Linux 40. Letztendlich kam das Unternehmen zu dem Schluss, dass die Betaversion von Fedora Linux 40 zwei betroffene Versionen der xz-Bibliotheken enthält. Es ist möglich, dass Fedora Rawhide-Versionen auch die Versionen 5.6.0 oder 5.6.1 erhalten haben.

Bitte hören Sie sofort auf, FEDORA RAWHIDE-Produkte für geschäftliche oder private Zwecke zu verwenden. Fedora Rawhide wird bald auf xz-5.4.x zurückgesetzt, und sobald dies erledigt ist, können Fedora Rawhide-Instanzen sicher erneut bereitgestellt werden.

Obwohl die Betaversion von Debian, einer kostenlosen Linux-Distribution, Pakete enthält, die vom Sicherheitsteam kompromittiert wurden Ich habe schnell gehandelt Um zu ihnen zurückzukehren. „Derzeit sind keine stabilen Versionen von Debian betroffen“, schrieb Salvatore Bonaccorso von Debian am Freitagabend in einer Sicherheitswarnung an Benutzer.

Später identifizierte Freund die Person, die den Schadcode gesendet hatte, als einen der beiden führenden xz Utils-Entwickler, bekannt als JiaT75 oder Jia Tan. „Angesichts der Tatsache, dass die Aktivität schon seit mehreren Wochen andauert, war der Täter entweder direkt beteiligt oder es gab eine schwerwiegende Kompromittierung seines Systems. Leider scheint letzteres die unwahrscheinlichste Erklärung zu sein, da sie in unterschiedlichen Listen der ‚Fixes‘ sprachen ' oben erwähnt“, schrieb Freund. In seinem Buch. Analysenachdem mehrere Lösungen von JiaT75 verknüpft wurden.

JiaT75 war ein bekannter Name: Sie hatten eine Zeit lang mit dem ursprünglichen Entwickler des .xz-Dateiformats, Lasse Collin, zusammengearbeitet. Wie der Programmierer Ross Cox in seinem Buch darlegte ZeitplanJiaT75 begann im Oktober 2021 damit, scheinbar legitime Patches an die XZ-Mailingliste zu senden.

Weitere Teile des Plans wurden einige Monate später enthüllt, als zwei weitere Identitäten, Jigar Kumar und Dennis Ince, Es wurde begonnen, Beschwerden per E-Mail zu versenden An Colin über die Fehler und die langsame Entwicklung des Projekts. Wie jedoch in Berichten vermerkt Evan Buhs Andere, „Kumar“ und „Ins“, wurden nie außerhalb der XZ-Community gesehen, was die Ermittler zu der Annahme veranlasst, dass es sich bei beiden um Fälschungen handelt, die nur existieren, um Jia Tan dabei zu helfen, auf seinen Standort zuzugreifen, um den Hintertürcode zu liefern.

„Es tut mir leid wegen Ihrer psychischen Probleme, aber es ist wichtig, sich Ihrer Grenzen bewusst zu sein. „Mir ist klar, dass dies ein Hobbyprojekt für alle Mitwirkenden ist, aber die Community will mehr“, schrieb Ince in einer Nachricht, während Kumar eingab ein anderer: „Fortschritte wird es nicht geben.“ Bis es einen neuen Vorgesetzten gibt.“

Inmitten des Hin und Her schrieb Collins: „Ich habe das Interesse nicht verloren, aber meine Fähigkeit, mich um mich zu kümmern, war aufgrund langfristiger psychischer Probleme, aber auch einiger anderer Dinge, etwas eingeschränkt“ und schlug vor, dass Jia Tan eine größere Rolle übernehmen sollte. „Man sollte auch bedenken, dass es sich um ein unbezahltes Hobbyprojekt handelt“, schloss er. Die E-Mails von Kumar und Ens wurden fortgesetzt, bis Tan später in diesem Jahr als Moderator hinzugefügt wurde, um Änderungen vornehmen und versuchen zu können, das Backdoor-Paket mit mehr Autorität in Linux-Distributionen einzuführen.

Der xz-Backdoor-Vorfall und seine Folgen sind ein Beispiel für die Schönheit von Open Source und die unglaubliche Verwundbarkeit der Internet-Infrastruktur.

Ein Entwickler von FFmpeg, einem beliebten Open-Source-Medienpaket, hat das Problem hervorgehoben In einem Tweet„Das xz-Fiasko hat gezeigt, dass es zu großen Problemen führen kann, wenn man sich auf unbezahlte Freiwillige verlässt. Billionen-Dollar-Unternehmen erwarten kostenlose, dringende Unterstützung von Freiwilligen. Sie brachten Belege mit, aus denen hervorgeht, wie sie mit einem Fehler mit ‚hoher Priorität‘ umgegangen sind, der Microsoft Teams betraf.“

Trotz der Abhängigkeit von Microsoft von seiner Software schrieb der Entwickler: „Nachdem sie höflich um einen Supportvertrag von Microsoft für die langfristige Wartung gebeten hatten, boten sie stattdessen eine einmalige Zahlung von ein paar tausend Dollar an … Investitionen in Wartung und Nachhaltigkeit sind unattraktiv und.“ ein mittlerer Manager wird es wahrscheinlich nicht bekommen.“ Für seine Beförderung wird er ihm über viele Jahre hinweg sogar das Tausendfache bezahlen.

Einzelheiten darüber, wer hinter JiaT75 steckt, wie ihr Plan umgesetzt wird und wie groß der Schaden ist, wurden von einer Armee von Entwicklern und Cybersicherheitsexperten sowohl in sozialen Medien als auch in Online-Foren enthüllt. Dies geschieht jedoch ohne direkte finanzielle Unterstützung der vielen Unternehmen und Organisationen, die von der Möglichkeit zum Einsatz sicherer Software profitieren.