LNP545 Even Monkeys Fall From Trees

Ein bedeutendes Ereignis, das die Welt der Cybersicherheit in Aufruhr versetzt hat, ist die Entdeckung einer raffinierten Backdoor in den `xz`-Komprimierungstools. Dieser Vorfall, nur knapp vor der weitreichenden Implementierung in zahlreiche produktive Systeme aufgedeckt, dient als Warnung vor den Risiken in der Software-Lieferkette.

Die Schwachstelle betraf `liblzma`, einen integralen Bestandteil der `xz`-Pakete, und wurde glücklicherweise von einem einzelnen Sicherheitsforscher identifiziert. Diese Enthüllung ist insofern spektakulär, als sie ein beinahe makelloses Beispiel für einen sogenannten Supply-Chain-Angriff darstellt.

Im Zentrum dieser Operation stand ein Angreifer, bekannt unter dem Pseudonym „Jia Tan“, der über einen Zeitraum von mehr als zwei Jahren systematisch versuchte, sich in das `xz`-Projekt einzuschleichen. Das ultimative Ziel dieser heimtückischen Kampagne war die Ermöglichung einer Remote Code Execution (RCE) über SSH, wodurch Angreifer unautorisierten Zugriff auf kompromittierte Systeme erhalten hätten.

Die Entdeckung der Backdoor wird Andrees Hartmann, einem Ingenieur bei Microsoft, zugeschrieben. Ihm fielen Ungewöhnlichkeiten bei SSH-Anmeldungen auf Fedora-Installationen auf. Insbesondere bemerkte er eine unerklärliche Verlangsamung der SSH-Verbindungen sowie eine erhöhte CPU-Auslastung. Diese Beobachtungen veranlassten ihn zu tiefergehenden Untersuchungen, die schließlich zur Aufdeckung der Manipulationen in `liblzma` führten.

Die Backdoor selbst nutzte einen höchst ausgeklügelten Mechanismus, um die `ifunc`-Funktionalität (indirekte Funktionsaufrufe) in `glibc` zu kapern. Ihr Design zielte darauf ab, die Funktion `RSA_public_decrypt` derart zu manipulieren, dass sie bösartigen Code ausführt. Die Implementierung war über mehrere Stufen verteilt und stark verschleiert, was eine Detektion extrem erschwerte.

„Jia Tan“ agierte geschickt und präsentierte sich über einen längeren Zeitraum als engagierter und hilfreicher Maintainer. Parallel dazu übte die Person Druck aus, um die schnelle Übernahme der aktualisierten `xz`-Versionen in diverse Linux-Distributionen voranzutreiben.

Der gesamte Vorfall unterstreicht die inhärenten Gefahren, die von Open-Source-Projekten ausgehen können, wenn diese primär von einer kleinen Anzahl von Personen betreut werden. Er verdeutlicht den sogenannten „Bus-Faktor“ – die kritische Frage, was geschieht, wenn ein Schlüssel-Maintainer ausfällt oder gar kompromittiert wird. Ferner verdeutlicht er die dringende Notwendigkeit einer besseren Finanzierung und verstärkten Unterstützung für essenzielle Open-Source-Infrastrukturen.

Das große Glück im Unglück war die frühzeitige Entdeckung der Backdoor, noch bevor sie sich massiv in produktiven Umgebungen hätte ausbreiten können. Es war eine haarscharfe Rettung. Das Titelmotto „Even Monkeys Fall From Trees“ (Selbst Affen fallen mal vom Baum) fasst die Situation prägnant zusammen: Es zeigt auf, dass selbst in sorgfältig überwachten Systemen und unter der Aufsicht von Experten solche Fehler oder hochkomplexen Angriffe jederzeit auftreten können.

https://logbuch-netzpolitik.de/lnp545-even-monkeys-fall-from-trees