XZ Utils Backdoor-Angriff auf die Lieferkette deckt ähnlichen Sicherheitsvorfall von vor Jahren auf

Die jüngste Enthüllung einer Hintertür in XZ Utils hat bei einem Entwickler von F-Droid, einem Open-Source-Repository für Android-Apps, Erinnerungen an einen früheren Vorfall geweckt. PostgreSQL-Betreuer Andres Freund schlug Ende März Alarm wegen einer Hintertür, die in der Datenkomprimierungsbibliothek Liblzma (XZ Utils) gefunden wurde. Diese Bibliothek wird von Entwicklern häufig verwendet und ist in verschiedenen Linux-Distributionen vorinstalliert. Ursprünglich dachte man, sie ermögliche die Umgehung der SSH-Authentifizierung, doch bei genauerer Untersuchung stellte sich heraus, dass sie tatsächlich die Remotecodeausführung ermöglichte, die als Sicherheitslücke CVE-2024-3094 bezeichnet wurde.

Angriffe auf die Lieferkette von Open-Source-Software sind keine Seltenheit, aber was diesen Vorfall auszeichnet, ist seine scheinbare Dauer von mehreren Jahren. Hans-Christoph Steiner, ein F-Droid-Betreuer, erinnerte sich an einen ähnlichen Vorfall im Jahr 2020. In diesem Fall wurde versucht, eine SQL-Injection-Schwachstelle einzufügen, was jedoch vereitelt wurde. Die Ähnlichkeit zwischen den beiden Vorfällen liegt in dem Druck, den zufällig ausgewählte Konten ausüben, um Schadcode einzufügen.

Steiner geht davon aus, dass der Versuch, die Schwachstelle einzubauen, vorsätzlich war, da das Konto des Einreichers anschließend gelöscht wurde. Im Fall von XZ Utils wurde die Hintertür einer Person namens Jia Tan oder JiaT75 zugeschrieben, bei der es sich möglicherweise um eine fiktive Identität handelt, die von einem erfahrenen Bedrohungsakteur erstellt wurde. Jia Tans Beteiligung an dem Projekt begann im Oktober 2021 harmlos und steigerte sich bis Mitte 2023 allmählich zu erheblichen Beiträgen, möglicherweise als Vorbereitung für die Hintertür.

Die Hintertür wurde schließlich im Februar 2024 hinzugefügt und einen Monat später von Freund entdeckt, bevor sie sich weit verbreitete. Collin, der Hauptentwickler von XZ Utils, führt eine Untersuchung der Angelegenheit durch. Dan Lorenc, ein Experte für Software-Lieferkettensicherheit, warnte 2022 in einem Podcast vor solchen langfristigen Angriffen und deutete an, dass staatliche Hackerteams daran beteiligt sein könnten.

Die Frage bleibt, ob in Zukunft ähnliche Vorfälle auftauchen werden, die möglicherweise von denselben oder anderen Bedrohungsakteuren inszeniert wurden. Wenn Collin tiefer in die Untersuchung eintaucht, werden voraussichtlich weitere Details ans Licht kommen, die Aufschluss über das Ausmaß und die Auswirkungen der XZ Utils-Hintertür geben.