CVE-2024-3094-Sicherheitslücke (XZ-Hintertür)
Sicherheitsanalysten haben kürzlich eine kritische Sicherheitslücke mit möglicherweise verheerenden Auswirkungen entdeckt. Laut einer dringenden Sicherheitswarnung wurden zwei Versionen des weit verbreiteten Datenkomprimierungstools XZ Utils (früher bekannt als LZMA Utils) mit bösartigem Code kompromittiert. Dieser Code ermöglicht den unbefugten Fernzugriff auf betroffene Systeme.
Diese als CVE-2024-3094 identifizierte Sicherheitsverletzung wird mit einem CVSS-Score von 10,0 bewertet, was den höchsten Schweregrad bedeutet. Betroffen sind die Versionen 5.6.0 (veröffentlicht am 24. Februar 2024) und 5.6.1 (veröffentlicht am 9. März 2024) von XZ Utils.
Der Exploit beinhaltet eine raffinierte Manipulation des liblzma-Build-Prozesses. Konkret wird eine vorgefertigte Objektdatei aus einer getarnten Testdatei im Quellcode extrahiert. Diese Objektdatei wird dann verwendet, um bestimmte Funktionen innerhalb des liblzma-Codes zu ändern und so die Kompromittierung aufrechtzuerhalten.
Inhaltsverzeichnis
Die Sicherheitslücke CVE-2024-3094 ermöglicht es Angreifern, beliebige Nutzlasten zu senden
Der bedrohliche Prozess führt zu einer modifizierten Version der liblzma-Bibliothek, die in der Lage ist, Dateninteraktionen mit jeder Software, die sie nutzt, abzufangen und zu verändern.
Genauer gesagt ist der in die Bibliothek eingebettete fehlerhafte Code so gestaltet, dass er den sshd-Daemon-Prozess, eine Komponente von SSH (Secure Shell), über die Systemd-Software-Suite stört. Diese Manipulation gibt einem Bedrohungsakteur möglicherweise die Möglichkeit, die SSD-Authentifizierung zu gefährden und unerlaubt aus der Ferne auf das System zuzugreifen, sofern bestimmte Bedingungen erfüllt sind.
Das ultimative Ziel der durch CVE-2024-3094 eingeführten schädlichen Hintertür besteht darin, Code in den OpenSSH-Server (SSHD) einzuschleusen, der auf dem betroffenen Computer ausgeführt wird. Dies würde es bestimmten Remote-Angreifern ermöglichen, im Besitz eines bestimmten privaten Schlüssels beliebige Nutzlasten über SSH zu versenden. Diese Payloads würden vor der Authentifizierungsphase ausgeführt und so effektiv die Kontrolle über das gesamte betroffene System übernehmen.
Die Sicherheitslücke CVE-2024-3094 wurde wahrscheinlich absichtlich von einem mit Betrug in Zusammenhang stehenden Akteur eingeführt
Der raffiniert verborgene Schadcode scheint durch eine Folge von vier Commits an das Tukaani-Projekt auf GitHub durch einen als Jia Tan (JiaT75) identifizierten Benutzer integriert worden zu sein.
Wenn man die anhaltende Aktivität über mehrere Wochen betrachtet, deutet dies darauf hin, dass der Täter entweder direkt beteiligt ist oder eine erhebliche Kompromittierung seines Systems erlitten hat. Das letztere Szenario scheint jedoch weniger plausibel, wenn man bedenkt, dass sie sich in verschiedenen Foren zu den angeblichen „Korrekturen“ engagiert haben.
GitHub, jetzt im Besitz von Microsoft, hat Maßnahmen ergriffen, indem es das vom Tukaani-Projekt verwaltete XZ Utils-Repository deaktiviert hat und einen Verstoß gegen die Nutzungsbedingungen von GitHub angeführt hat. Bisher liegen keine Berichte über aktive Ausbeutung in freier Wildbahn vor.
Untersuchungen haben ergeben, dass diese kompromittierten Pakete ausschließlich in den Distributionen Fedora 41 und Fedora Rawhide zu finden sind. Andere wichtige Distributionen wie Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise und Leap sowie Ubuntu sind von diesem Sicherheitsproblem nicht betroffen.
Milderung der Backdoor-Sicherheitslücke CVE-2024-3094
Benutzern von Fedora Linux 40 wurde geraten, auf die Version 5.4 zurückzugreifen. Darüber hinaus waren mehrere andere Linux-Distributionen von dem Supply-Chain-Angriff betroffen, darunter:
Arch Linux (Installationsmedium 2024.03.01, virtuelle Maschinenimages 20240301.218094 und 20240315.221711 sowie Containerimages, die zwischen dem 24. Februar 2024 und dem 28. März 2024 erstellt wurden)
- Kali Linux (zwischen 26. und 29. März)
- openSUSE Tumbleweed und openSUSE MicroOS (zwischen 7. und 28. März)
- Debian-Testversionen sowie instabile und experimentelle Versionen (von 5.5.1alpha-0.1 bis 5.6.1-1)
Diese Entwicklung hat die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) dazu veranlasst, eine eigene Warnung herauszugeben, in der sie den Benutzern rät, XZ Utils auf eine Version zurückzusetzen, die von der Kompromittierung nicht betroffen ist, beispielsweise XZ Utils 5.4.6 Stable.
