Wie die Computerwelt gerade haarscharf an einer Sicherheitskatastrophe vorbeigeschrammt ist

  • Nur durch Benchmarks eines einzelnen Programmierers fliegt die über Jahre vorbereitete Unterwanderung von Millionen Systemen auf. Dahinter dürften staatliche Angreifer stehen.

    xz-utils – Wie die Computerwelt gerade haarscharf an einer Sicherheitskatastrophe vorbeigeschrammt ist

    Sehr lesenswert für jeden, weil es gut veranschaulicht, wie viel heutzutage in Angriffe investiert wird und dass man Sicherheit echt nicht vernachlässigen darf. Hier wurde nicht einfach eine Sicherheitslücke gefunden und ausgenutzt. Es wurde eine wichtige Open Source-Komponente aktiv unterwandert und über Jahre darauf hingearbeitet, die Schwachstelle zu platzieren. Um ein Haar wären die neuen Versionen vieler wichtigen Linux-Distributionen mit Schadcode veröffentlicht worden. Und aufgeflogen ist das Ganze einzig und alleine deswegen, weil jemand Benchmarks gemacht hat und aufgefallen ist, dass eine bestimmte Aktion etwas länger als normal benötigt hat. Man stelle sich vor, das Ganze hätte ohne Performance-Defizit funktioniert oder es hätte nicht zufällig jemand die Performance getestet und eine entsprechende Analyse eingeleitet. Das wäre unbemerkt geblieben.

    PS: Falls einer der Linux-Nutzer von der Sicherheitslücke betroffen war, sollte diejenige Person handeln. Red Hat ist da sehr deutlich, was die Gefahr betrifft, und legt betroffenen Nutzern nahe, den Rechner komplett neu aufzusetzen.

  • Danke für diesen wichtigen Hinweis.:thumbup:

    PS: Falls einer der Linux-Nutzer von der Sicherheitslücke betroffen war, sollte diejenige Person handeln. Red Hat ist da sehr deutlich, was die Gefahr betrifft, und legt betroffenen Nutzern nahe, den Rechner komplett neu aufzusetzen.

    Ich bin zum Glück nicht davon betroffen, denn in den aktuellen Ubuntu-Versionen kommt xz-utils in einer Version 5.4.x oder früher zum Einsatz. Version 5.6 war für das kommende Ubuntu 24.04 geplant.

    Is Ubuntu affected by the xz backdoor compromise?
    Moderator Note: This question relates to a rapidly evolving current event. It has been protected to prevent unrelated banter or answers that do not benefit the…
    askubuntu.com
    Code
    trusty  Not vulnerable
    xenial  Not vulnerable
    bionic  Not vulnerable
    focal   Not vulnerable (5.2.4-1ubuntu1.1)
    jammy   Not vulnerable (5.2.5-2ubuntu1)
    mantic  Not vulnerable (5.4.1-0.2)
    upstream    Needs triage

    Gruß Markus

  • Hallo

    Die Backdoors scheint auch Microsoft Produkte zu betreffen basierend auf den Kommentaren auf GitHub und heise.de.


    heise online
    www.heise.de
    Zitat

    Windows 11 may be in scope. Libarchive reviewing Jia Tan commits starting from 2021: libarchive/libarchive#2103 Windows 11 added Libarchive in 23h2 (released in late 2023/early 2024): https://support.microsoft.com/en-us/topic/no…d8-f075841ca812 New! This update adds native support for reading additional archive file formats using the libarchive open-source project, such as: ... tar.xz ...


    xz-utils backdoor situation (CVE-2024-3094)
    xz-utils backdoor situation (CVE-2024-3094). GitHub Gist: instantly share code, notes, and snippets.
    gist.github.com

    Ich habe das ganze nur nebenbei auf heise.de verfolgt.

    Viele Opensource Software wird auf verschiedenen Betriebssystemen eingesetzt was solche Vorfälle kompliziert und schwer zu übersehen macht.


    Zum Beispiel habe ich noch keine Infos ob auch Embedded Linux Versionen von IoT Geräten betroffen sein können. Und von diesen Geräten ist jede Menge installiert und in Betrieb.

  • Der Vorfall ist zwar PR-technisch ein mittleres Desaster für die Open-Source-Community, beweist dabei allerdings auch, daß der öffentliche Audit-Prozeß - so er denn gewissenhaft gemacht wird - durchaus gut funktioniert und solche *zensiert* verhindert oder zumindest entdeckt und Schadensbegrenzung betreiben kann! :thumbup:

    Aloha, Uli

    Seit 102.0 wieder mit dem jeweils neuesten 64bit-Fx von tete009 unterwegs.

  • PR-technisch ein mittleres Desaster für die Open-Source-Community

    Ich sehe da nicht wirklich ein PR-Desaster für die „Open-Source-Community“. Viel mehr hebt das Ganze doch eine grundsätzliche Problematik am ganz anderen Ende hervor: Nämlich, dass sich große Unternehmen von ehrenamtlich arbeitenden Entwicklern abhängig machen, oft ohne diese zu unterstützen. Im Gegenteil erwarten selbst Milliardenkonzerne von diesen ehrenamtlich arbeitenden Entwicklern teilweise sofortigen und kostenlosen Support: Beispiel.

    beweist dabei allerdings auch, daß der öffentliche Audit-Prozeß - so er denn gewissenhaft gemacht wird - durchaus gut funktioniert

    Leider beweist es das nicht, denn dieser bereits seit 2021 vorbereitete Angriff war ein kompletter Zufallsfund und nicht das Ergebnis eines Audits von xz. Entdeckt wurde das Ganze bei Peformance-Messungen von Postgres, um xz ging es dabei eigentlich gar nicht.

    Wäre es dem Angreifer gelungen, die Performance weniger sichtbar zu beeinträchtigen und hätte sich nicht zufällig ein einzelner Mensch damit beschäftigt, wieso der Login via SSH ein paar hundert Millisekunden (!) länger als gewohnt dauert - etwas, worüber sich vermutlich sonst kaum ein Mensch auf der Welt Gedanken machen würde -, wäre das auch nicht aufgedeckt worden und Millionen von Anwendern hätten über ein Update ihres Betriebssystems Schadcode erhalten.

    Das wirklich Erschreckende an diesem Fall ist, wie hier wirklich ein Projekt gezielt unterwandert wurde. Die psychischen Probleme und Überlastung des Hauptverantwortlichen waren bekannt, also wurde jemand eingeschleust, der zunächst wirklich hilft und Vertrauen gewinnt, um dann im nächsten Schritt über weitere Accounts Druck zu machen, dass es unbedingt einen Co-Maintainer mit mehr Verantwortung braucht, was dann genau jene hilfreiche Person wurde. In dieser ganzen Geschichte liegt so unglaublich viel Planung und Geduld und jeder einzelne Schritt wurde so gut getarnt. Es hat sich vor ein paar Monaten beim „Operation Triangulation“-Angriff schon gezeigt: Wir haben eine ganz neue Dimension an Angriffen erreicht, die über das primitive Finden und Ausnutzen einzelner Sicherheitslücken hinausgehen. Ohne zu wissen, wer nun konkret hinter den Angriffen steht, hat das schon Niveau von Geheimdienst-Operationen.

  • Dazu passend auf heise.de:

    Zitat

    Die xz-Hintertür: Das verborgene Oster-Drama der IT

    Mit einer Hintertür in einer unbekannten Kompressionsbibliothek hätten Unbekannte beinahe große Teile des Internets übernehmen können. Leider kein Scherz.

    Die xz-Hintertür: Das verborgene Oster-Drama​ der IT
    Mit einer Hintertür in einer unbekannten Kompressionsbibliothek hätten Unbekannte beinahe große Teile des Internets übernehmen können. Leider kein Scherz.
    www.heise.de


    Ein Problem ist doch das schlechte Software und die dazugehörende Entwicklung ab einem bestimmten Grad der Verbreitung viel Schaden anrichten können und es keine Konsequenzen zumindest für kommerzielle Anbieter hat welche die notwendigen Ressourcen sollten haben.

    Dabei ist es egal ob es Open Source oder Closed Source Software ist, es wird einfach zu viel unter den Teppich gekehrt. Und irgendwelche ISO-Papier-Audits helfen da auch nicht weiter.

    Die Ehrenamtlichen Entwickler erhalten leider nur wenig Unterstützung von großen Unternehmen welche die Software auch in ihren Produkten und Dienstleistungen einsetzen.

    In der Vergangenheit hat es schon weiter Supply-Chain Angriffe gegeben, ein Beispiel war FireEye und SolarWinds in 2020.

    https://FireEye etc.: Trojaner in SolarWinds-Updates ermöglicht Cyberangriffe

  • Hier ein sehr gut anschaulich erklärtes Video dazu

    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne deine Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklärst du dich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)