Gestern wurde in der Bibliothek liblzma, die mit dem Paket xz-utils ausgeliefert wird, eine kritische Lücke in Form einer Backdoor entdeckt (CVE-2024-3094). XZ-Utils enthält eine Reihe von Komprimierungsprogrammen für das XZ-Format, die in zahlreiche Linux-Distributionen vorhanden sind. Betroffen sind Rolling-Release-Distributionen, die DEB oder RPM als Paketformat nutzen. Dazu zählen Debian Testing und Unstable, Fedora 40 und Rawhide und openSUSE Tumbleweed sowie openSUSE MicroOS. Arch Linux ist ebenfalls betroffen. Eine weitere Voraussetzung scheint die Verwendung der glibc zu sein.

Entdeckt wurde die Backdoor vom Sicherheitsforscher Andres Freund, der sie auch als Erster beschrieb. Am Ende der Seite lässt sich das kleine Script detect.sh herunterladen, das eine vage Aussage trifft, ob ein System vermutlich verwundbar ist oder nicht. Das Script muss zunächst ausführbar gemacht werden.

Betroffen sind die vor einem Monat respektive drei Wochen erschienenen Versionen 5.6.0 und 5.6.1 von xz-utils. Der bösartige Code findet sich in den Quellcode-Tarballs und ist nicht in den öffentlichen Git-Repositories enthalten. Mittlerweile gibt es reparierte Pakete ohne die Schadsoftware. Bei Debian etwa die Version 5.6.1+really5.4.5-1, bei Arch 5.6.1-2. Fedora nutzt v5.4.6-3 für das Paket ohne Backdoor, während openSUSE die Versionierung 5.6.1.revertto5.4 nutzt. Wer eine der betroffenen Versionen installiert hat, sollte zunächst sofort auf die neue Version aktualisieren. Wird SSH derzeit nicht benötigt, sollte man den Dienst vermutlich besser abschalten.

Durch eine Reihe komplexer Verschleierungen extrahiert der liblzma-Build-Prozess eine vorgefertigte Objektdatei aus einer getarnten Testdatei im Quellcode, die dann dazu verwendet wird, bestimmte Funktionen im liblzma-Code zu ändern. Das Ergebnis ist eine modifizierte liblzma-Bibliothek, die von jeder Software verwendet werden kann, die gegen diese Bibliothek gelinkt ist, und die die Dateninteraktion mit dieser Bibliothek abfängt und modifiziert.

Mit diesem Konstrukt ist ein unbefugter Fernzugriff über SSH durch Umgehung der SSHD-Authentifizierung auf das System nicht auszuschließen. Das gelingt, da beim Start des OpenSSH-Server über den Umweg libsystemd auch liblzma aufgerufen wird. Dabei wird in der kompromittierten Version die Funktion RSA_public_decrypt an Malware-Code weitergeleitet, der die Authentifizierung umgeht und somit direkten Zugriff auf das System ermöglichen kann.

Das Paket mit der Backdoor stammt vom Upstream von xz-utils. Offensichtlich hat sich ein böswilliger Akteur über Jahre Einfluss auf das Projekt verschafft, um eine anspruchsvoll programmierte Backdoor einzubauen, deren Ziele und Auswirkungen bisher nicht in Gänze überschaubar sind. Ein Dokument auf GitHub fasst zusammen, was bisher bekannt ist. GitHub hat zudem das Repository von xz geperrt. Der Versuch des böswilligen Akteurs, das Paket auch in Ubuntu hochzuladen, gelang zum Glück nicht.

Der heutige Tag wird vermutlich weitere Erkenntnisse bringen. Klar ist bereits, dass dies eine von langer Hand maliziös und akribisch vorbereitete Attacke ist. Handlungsanweisungen über die sofortige Aktualisierung von xz-utils und dem Abschalten von SSH gibt es bisher nicht.