ubuntuusers.de

Ich habe einen interessanten Artikel gefunden, hier hat sich jemand über Jahre hinweg in das Programmierteam eingearbeitet und dann Backdoors in ein Opensource Programm eingebaut. Bei diesem Programm ist es aufgefallen, aber es ist zu vermuten, dass es nicht das einzige ist. Es werden wohl noch weitere böse Überraschungen folgen.

Kompromittiertes Paket mit Backdoor in Arch, Debian, Fedora und openSUSE

Gestern wurde in der Bibliothek liblzma, die mit dem Paket xz-utils ausgeliefert wird, eine kritische Lücke in Form einer Backdoor entdeckt (CVE-2024-3094). XZ-Utils enthält eine Reihe von Komprimierungsprogrammen für das XZ-Format, die in zahlreiche Linux-Distributionen vorhanden sind. Betroffen sind Rolling-Release-Distributionen, die DEB oder RPM als Paketformat nutzen.

Von langer Hand geplant

Das Paket mit der Backdoor stammt vom Upstream von xz-utils. Offensichtlich hat sich ein böswilliger Akteur über Jahre Einfluss auf das Projekt verschafft, um eine anspruchsvoll programmierte Backdoor einzubauen, deren Ziele und Auswirkungen bisher nicht in Gänze überschaubar sind. Ein Dokument auf GitHub fasst zusammen, was bisher bekannt ist. GitHub hat zudem das Repository von xz geperrt. Der Versuch des böswilligen Akteurs, das Paket auch in Ubuntu hochzuladen, gelang zum Glück nicht.

Der heutige Tag wird vermutlich weitere Erkenntnisse bringen. Klar ist bereits, dass dies eine von langer Hand maliziös und akribisch vorbereitete Attacke ist. Handlungsanweisungen über die sofortige Aktualisierung von xz-utils und dem Abschalten von SSH gibt es bisher nicht.

https://linuxnews.de/kompromittiertes-paket-in-arch-debian-fedora-und-opensuse/

Arch Linux hat bereits mit Datum 29.03.2024 reagiert: https://archlinux.org/news/the-xz-package-has-been-backdoored/

Die meisten Ubuntu-Versionen sind hiervon nicht betroffen, da bisher nur ältere xz-Pakete ausgeliefert wurden

https://askubuntu.com/questions/1509015/is-ubuntu-affected-by-the-xz-backdoor-compromise

24.04 könnte allerdings betroffen sein. Da müsste mal jemand schauen, der/die es installiert hat.

Man kann ganz einfach auf der packages.ubuntu.com Webseite nachschauen:

• https://packages.ubuntu.com/search?keywords=xz-utils

"Jia Tan" hatte es allerdings tatsächlich auch auf Ubuntu abgesehen.

• https://bugs.launchpad.net/ubuntu/+source/xz-utils/+bug/2059417

Aber auch in libarchive wurde commits von einem der bekannt gewordenen Aliase entdeckt:

• https://github.com/libarchive/libarchive/issues/2103

Die meisten Systeme sind nicht betroffen, weil das Paket noch nicht in die stable-Zweige kam. Das war aber auch nur Zufall, denn das Problem wurde nicht durch systematisches Prüfen gefunden, sondern durch Analyse eines durch die Backdoor erzeugten Performanceproblems.

Das ganze wurde u.a. schon vor ein paar Tagen hier diskutiert: https://pi-dach.dorfdsl.de/rocksolid/article-flat.php?id=1483&group=de.comp.os.unix.linux.misc#1483

Wie du richtig gesagt hast, war es nur ein Zufallstreffer, mit ein bisschen mehr Mühe wäre er vermutlich nicht mal aufgefallen, aber dies täuscht über das eigentliche Problem hinweg, dass systematisch versucht wird, Schadcode in Opensource Programmen einzubauen. Hier mal ein paar Beispiele, ohne Anspruch auf Vollständigkeit.

Hierbei handelt es sich um professionelle Angriffe und nicht um einen Programmierer, der sich mal'n "Späßchen" erlaubt.

ZDNet / Sicherheit / Virus

Octopus Scanner: Malware greift über GitHub Windows, Linux und macOS an

Die Hintermänner haben es gezielt auf NetBeans-Projekte abgesehen. Ihre Malware stiehlt Daten von Entwicklern die Datenbank-Passwörter. Octopus Scanner ist in der Lage, neue Builds eines Projects so zu manipulieren, dass sein schädlicher Code enthalten bleibt.

https://www.zdnet.de/88380405/octopus-scanner-malware-greift-ueber-github-windows-linux-und-macos-an/

Open Source: Gut getarnte Malware-Kampagne in Tausenden Github Repos

Ein Sicherheitsforscher hat eine groß angelegte Malware-Kampagne entdeckt, die versucht, sich durch einfache Pull Requests einzuschmuggeln.

Der von Lacy entdeckte Code der Malware finde sich dabei rund 35.000 Mal auf Github und ziele darauf, Daten von Entwicklern auszuleiten, um anschließend damit weitergehende Angriffe durchzuführen.

https://www.golem.de/news/open-source-gut-getarnte-malware-kampagne-in-tausenden-github-repos-2208-167352.html

A list of IPs known to host Linux Malware. https://gist.github.com/ajpaulson/e7617c75407d9f0cfac8

Im Fall von XZ hat aber die Sache frei nach Karl Valentin drei Seiten. Die negative ist, dass OpenSource geschädigt wird. XKCD drückt es in einem Bild aus:

• https://xkcd.com/2347/

Die positive Seite dürfte wohl sein, dass man versucht vorsichtiger zu sein. Die zum schreien komische Seite daran, 3 Jahre ranwanzen und vorbereiten für den hinterhältigen Coup gegen Linux Benutzer gehen in wenigen Stunden in Rauch auf. 🤣

• https://boehs.org/node/everything-i-know-about-the-xz-backdoor

Die Sache ist wie ein Eiberg, von dem, was man sieht, geht nicht die größte Gefahr aus, sondern die Gefahr ist das, was man nicht sieht und sich unbemerkt unter der Oberfläche befindet.

Es handelt sich hier um hochprofessionelle Angriffe von Personen oder Organisationen, die über entsprechende Mittel und Möglichkeiten verfügen, um einen solchen Angriff durchzuführen.

Die Welt ist nun mal kein Ponyhof und wird es auch niemals sein.

Deshalb sollte man sich mit dem Thema Sicherheit mal ernsthaft befassen.

Yabba-Dabba-Doo schrieb:

Die Welt ist nun mal kein Ponyhof und wird es auch niemals sein.

Schlimmer noch: bei den zunehmend komplexen Angriffs-Szenarien komme zumindest ich mir manchmal vor, wie Indiana Jones. Mit jedem Schritt, den ich unternehme, könnte ich eine tödliche Falle auslösen. Wenn das so weitergeht, wird man bald wirklich ein Informatik-Studium benötigen, um einen Computer einigermaßen sicher bedienen zu können.

Yabba-Dabba-Doo schrieb:

Die Sache ist wie ein Eiberg, von dem, was man sieht,…

Ja, ich seh' schon – wir haben Ostern. *SCNR*

Yabba-Dabba-Doo schrieb:

Es handelt sich hier um hochprofessionelle Angriffe von Personen oder Organisationen, die über entsprechende Mittel und Möglichkeiten verfügen, um einen solchen Angriff durchzuführen.

Die Frage ist, wie viel es tatsächlich braucht: wenn jemand programmieren kann und genug Freizeit übrig und Geduld hat, sich in einem OSS-Projekt zu engagieren, dann reicht das womöglich schon. Das ist vielleicht noch viel beunruhigender als die vielzitierten Nationen mit großem Cyber-IT-Budget und dem Willen es zum Schaden anderer einzusetzen.

Deshalb sollte man sich mit dem Thema Sicherheit mal ernsthaft befassen.

+1 - wobei das schon schwierig für jemanden wird, der das nicht Vollzeit machen kann.

+1 - wobei das schon schwierig für jemanden wird, der das nicht Vollzeit machen kann.

Ja genau da legst du den Finger in die Wunde, free Software wird meist als "for free" fehl interpretiert. Sicherheit ergibt sich nicht zufällig, man muss Leute haben, die sich intensiv damit befassen können und die müssen dafür auch bezahlt werden. Deshalb würde ich es begrüßen, wenn man leicht und einfach Geld an eine zentrale Stelle spenden könnte, die dies dann an die Projekte verteilt.

Ich begrüße sehr die Arbeit der Leute, die solche Software erstellen, aber sie müssen auch von was leben.

Es ist aber nicht nur ein Problem des Geldes, sondern es hat viele Ursachen, auch kommerzielle Firmen haben immer wieder Probleme damit.

EDIT

Man sollte diesen Angriff als Weckruf betrachten und nicht einfach zur Tagesordnung übergehen.

Kritische Sicherheitslücke in der Internet-Infrastruktur

Grundlegende Design-Fehler in DNSSEC entdeckt

Die weit verbreitete Bind9-DNS-Implementierung kann sogar 16 Stunden lang außer Gefecht gesetzt werden. Diese verheerende Wirkung veranlasste große DNS-Anbieter, KeyTrap als „den schlimmsten je entdeckten Angriff auf DNS“ zu bezeichnen. ... Die Schwachstellen sind mindestens seit August 2000 im Bind9-DNS-Resolver bekannt und wurden im August 2007 in den Code des Unbound-DNS-Resolvers aufgenommen. Obwohl die Schwachstellen seit etwa 25 Jahren im Standard und seit 24 Jahren in eingesetzten Systemen existieren, wurden sie von der Community nicht entdeckt. Dies ist nicht überraschend, da die Komplexität der DNSSEC-Validierungsanforderungen die Identifizierung der Schwachstellen erschwert. Der Exploit erfordert eine Kombination mehrerer Anforderungen, sodass es selbst für DNS-Experten nicht einfach war, ihn zu erkennen.

https://www.informatik.tu-darmstadt.de/fb20/ueber_uns_details_295936.de.jsp

So ist der Hack von Storm-0558 passiert, das müssen Sie wissen! Gestohlener Master-Key von Microsoft

https://www.security-insider.de/gestohlener-master-key-von-microsoft-a-e13eabefaeb7354292ddd63dfae063d0/

Anhaltende Angriffe aus Russland

Microsoft-Angreifer hatten auch Zugriff auf Quellcode

https://www.cio.de/a/microsoft-angreifer-hatten-auch-zugriff-auf-quellcode,3730537

SolarWinds-Hack: Ein Hackerangriff, der um die Welt geht

Der Angriff auf das Unternehmen SolarWinds gilt als größter Hack seit Jahren. Zehntausende Firmen könnten betroffen sein. Um was geht es, wie gefährlich ist es und wie kann man sich schützen? Antworten auf die wichtigsten Fragen.

https://www.spektrum.de/news/solarwinds-ein-hackerangriff-der-um-die-welt-geht/1819187

Yabba-Dabba-Doo schrieb:

[…]

Kompromittiertes Paket mit Backdoor in Arch, Debian, Fedora und openSUSE

Gestern wurde in der Bibliothek liblzma, die mit dem Paket xz-utils ausgeliefert wird, eine kritische Lücke in Form einer Backdoor entdeckt (CVE-2024-3094). […] Der Versuch des böswilligen Akteurs, das Paket auch in Ubuntu hochzuladen, gelang zum Glück nicht.

Der Angriff betrifft das Paket liblzma5 ab Version 5.6.0, nicht direkt das Paket xz-utils, welches allerdings die angegriffene Bibliothek benutzt. Andererseits wird die Bibliothek liblzma auch von vielen anderen Programmen benutzt und natürlich sind solche zentrale Stellen beliebte Ziele für Angreifer.

Alle aktuellen Ubuntu Versionen benutzen liblzma in einer Version 5.4.x oder früher und sind daher von diesem Angriff nicht betroffen. Die Version 5.6 war vorgesehen für 24.04. Hier ist die aktuelle Version als 5.6.1+really5.4.5-1 benannt; was vermuten lässt, dass man hier als Sofortmaßnahme bereits einen Gang zurückgeschaltet hat.

Du hast insoweit recht das Ubuntu nicht betroffen ist, das steht auch oben im Artikel, andere Linux Distributionen sind aber betroffen. Hätte man dies nicht durch Zufall entdeckt, wäre es vermutlich auch in Ubuntu gelandet.

Wie viele unentdeckte Fehler, Schwachstellen oder bewusst eingefügte Schadsoftware sich sonst irgendwo versteckt, kann nur gemutmaßt werden.

Deshalb sollte man einmal die Grundsatzfrage in puncto Sicherheit stellen. Dies betrifft eben nicht nur Linux, sondern ist ein allgemeines Problem in der EDV, das Thema Sicherheit hat nie eine Rolle gespielt bei der Entwicklung, sondern nur die Funktion.

Dies betrifft alle Bereiche Hardware, Firmware, Treiber, Betriebssystem, Programme etc.

Yabba-Dabba-Doo schrieb:

[…] Deshalb sollte man einmal die Grundsatzfrage in puncto Sicherheit stellen. Dies betrifft eben nicht nur Linux, […]

Wenn Du das Thema nicht für ein konkretes Ubuntu System, sondern für alles diskutieren willst, bist Du hier im falschen Forum. Ich verschiebe das mal …