xz/liblzma: Hintertür war sorgfältig konstruiert

Backdoor

Am Karsamstag machte die Backdoor-Attacke auf die xz/liblzma Schlagzeilen in der Tech-Welt. Ein Kommentar von Gaidar Magdanurov, President of Acronis.

Die Bibliothek liblzma ist Teil des beliebten Komprimierungsprogramms xz und wird auch von anderer Software unter Linux, Windows und macOS verwendet. Neben anderen Anwendungen kann die Bibliothek indirekt von OpenSSH, der beliebtesten Remote-Management-Suite für Linux, verwendet werden.

Anzeige

Die Hintertür wurde sorgfältig so konstruiert, dass sie nur dann ausgelöst wird, wenn OpenSSH die Bibliothek verwendet. Sie ermöglicht es einem Angreifer, der den geheimen Schlüssel kennt, Befehle auf dem Backdoor-Server mit den höchsten Privilegien auszuführen. Die Backdoor funktioniert auch dann normal, wenn der Client nicht im Besitz des geheimen Schlüssels ist, so dass es für Sicherheitsexperten unmöglich ist, festzustellen, wie viele Server im Internet mit der Backdoor versehen wurden.

Eine Person oder Gruppe, die den Namen Jia Tan verwendet, hat einige Jahre lang zu xz beigetragen, hunderte von Änderungen vorgenommen und sich in der Entwicklergemeinschaft einen Namen gemacht. Sie drängten auch den früheren Betreuer von xz, Jia Tan, mehr Befugnisse zu erteilen, der schließlich zum Hauptbetreuer der Bibliothek wurde. Der bösartige Teil wurde kreativ in den ergänzenden Testsuiten der Bibliothek versteckt, was dazu beitrug, dass er bei der Überprüfung des Quellcodes nicht entdeckt wurde.

Der Binärcode in der Bibliothek wurde verschleiert, um eine Entdeckung zu vermeiden. Aufgrund dieser Verschleierung arbeitet der Code jedoch langsam. Das Starten von SSH verursachte eine merkliche Verzögerung, die die Entdeckung einer Hintertür ermöglichte. Ohne diese Verzögerung hätte die Hintertür lange Zeit unbemerkt bleiben und viele Linux-Installationen gefährden können.

Diese Backdoor ist ein Beispiel dafür, wie anfällig die IT-Infrastruktur ist und wie viele Möglichkeiten Angreifer haben, Open Source auszunutzen – eine Grundlage für die meisten Systeme, die wir heute zur Aufrechterhaltung unserer kritischen Infrastruktur verwenden.

Wir von Acronis empfehlen, alle Patches und neuen Versionen vor der Veröffentlichung in der Produktion gründlich zu testen und Cybersecurity-Feeds über bekannte Schwachstellen zu verfolgen, bevor man mit Updates fortfährt.

Gaidar Magdanurov

Gaidar

Magdanurov

President

Acronis

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.