XZ Utils Backdoor: Sicherheitslücke in der Software-Supply-Chain

logpoint-logo

Von Swachchhanda Shrawan Poudel, Security Research Engineer bei Logpoint

Die jüngste Entdeckung einer Backdoor in den Versionen 5.6.0 und 5.6.1 von XZ Utils, einer Reihe von Open-Source-Komprimierungsprogrammen, hat eine bedeutende Debatte über die Sicherheit von Open-Source-Software und die Integrität der Lieferkette ausgelöst. XZ Utils ist für die Komprimierung von Release-Tarballs, Softwarepaketen, Kernel-Images und initramfs-Images (initial ram file system) bekannt. Es reduziert Dateigrößen erheblich und erhält gleichzeitig die Datenintegrität. Das Dienstprogramm ist so weit verbreitet, dass es in der Regel auf den meisten Linux- und macOS-Systemen vorinstalliert ist.

Diese Sicherheitslücke, welche als Supply-Chain-Angriff identifiziert wurde, verdeutlicht die potenziellen Risiken, die mit der Abhängigkeit von Drittanbieter-Bibliotheken verbunden sind, die in weitverbreiteten Softwareprojekten verwendet werden. Sie ist nun als CVE-2024-3094 bekannt mit einem CVSS-Score von 10.

Der Microsoft-Ingenieur und PostgreSQL-Entwickler Andres Freund entdeckte die Sicherheitslücke, als er eine Verzögerung einer SSH-Verbindung bemerkte. In diesem Zusammenhang stellte er fest, dass sshd-Prozesse eine ungewöhnlich hohe Menge an CPU verbrauchten. Dies veranlasste ihn, ein Profil von sshd zu erstellen, wobei er feststellte, dass liblzma übermäßig viel CPU-Zeit verbrauchte. Weitere Untersuchungen führten zur Entdeckung einer Hintertür in xz/liblzma, die er am Freitag, den 29. März 2024, per E-Mail an oss-security schickte. Bösartige Pakete wurden erfolgreich in die Open-Source-Bibliothek xz/liblzma über das von Jia Tan (auch bekannt als Jia Cheong Tan oder JiaT75) verwaltete GitHub-Konto eingebunden. Der Angreifer konnte durch geschicktes Social Engineering und die schrittweise Übernahme der Verantwortung als Maintainer des XZ-Projekts die Hintertür in die Bibliothek einzuschleusen, ohne dabei von der Community entdeckt zu werden.

Fazit
Insgesamt unterstreicht der Vorfall die Notwendigkeit einer verstärkten Aufmerksamkeit für die Sicherheitsaspekte von Open-Source-Software und die Bedeutung von proaktiven Maßnahmen zur Risikominderung und Wiederherstellung der Systemsicherheit.

Die Sicherheitsplattform „Converged SIEM“ von Logpoint enthält umfangreiche Tools und Funktionen, um Bedrohungen automatisch zu erkennen, zu bewerten und zu entschärfen. Zusätzlich zu einer Reihe von Warnregeln und maßgeschneiderten Playbooks bietet Logpoint nach eigenen Angaben Funktionen, die „Sicherheitsteams in die Lage versetzen, wesentliche Vorfallsreaktionsverfahren zu automatisieren“.