CVE-2024-3094: XZ Utils Backdoor

Zusammenfassung der CVE-2024-3094 / XZ Utils Backdoor

Ein Angreifer hat Schadcode in XZ Utils 5.6.0 und 5.6.1 platziert, welcher auf bestimmten Debian und RedHat basierten Systemen den SSH-Daemon manipuliert. Auch wenn die genaue Funktionsweise noch nicht bekannt ist, ist anzunehmen, dass es sich dabei um eine Manipulation der Authentifizierung handelt, welche es einem Angreifer erlaubt, per SSH auf den Client / Server zuzugreifen. 

Timeline

Betroffenheit

Betroffen sind generell alle Systeme, welche systemd und sshd aktiviert haben sowie die Version 5.6.0 und 5.6.1 der XZ Utils installiert haben.

Das sind unter anderem folgende Betriebssysteme (unvollständig):

• Fedora Linux 40 & 41

• Debian testing, unstable and experimental

• Kali Linux

• OpenSUSE Tumbleweed

• OpenSUSE Micro OS

• Alpine 5.6 prior 5.6.1-r2

• Arch-Linux

Ob eine betroffen Version der XZ Utils installiert ist, kann über diese Kommandos prüfen:

• strings `which xz` | grep "(XZ Utils"

• for xz_p in $(type -a xz | awk '{print $NF}' | uniq); do strings "$xz_p" | grep "xz (XZ Utils)" || echo "No match found for $xz_p"; done

Das heißt nicht automatisch, dass man verwundbar ist - nur, dass die Version der XZ Utils mit der Backdoor installiert ist. Wie oben beschrieben ist dies nur ein Indikator und ob die Backdoor aktiv ist, hängt von weiteren Faktoren ab.

Auswirkungen und Gegenmaßnahmen 

Auch wenn aktuell keine Ausnutzungen der Schwachstelle bekannt sind, besteht die Gefahr, dass betroffene Geräte durch einen Angreifer kompromittiert wurden. Dies gilt besonders, wenn der SSH-Daemon der Systeme aus dem Internet erreichbar ist. Insofern Security-Monitoring auf den betroffenen Systemen eingerichtet ist, sollte auf Anomalien, besonders bezüglich SSH-Logins, geachtet werden. Wichtig ist dabei, dass ein Angreifer sich über einen legitimen Account authentifizieren würde. Auch ist aus der professionellen Vorgehensweise zu schließen, dass ein Zugriff vermutlich während der Office-Zeiten passieren würde.

Ist kein Security-Monitoring eingerichtet, sollten betroffene Geräte zeitnah neu installiert werden, da eine Kompromittierung nicht ausgeschlossen werden kann.

Hintergründe - Risiko "Supply Chain Compromise"

Dieser Fall ist aufgrund der schnellen Entdeckung glimpflich ausgegangen. Wäre der Schadcode unentdeckt geblieben und in die stable Versionen der Betriebssysteme eingeflossen, hätte der Angreifer Zugriff auf Millionen von Servern gehabt. Zudem wird RedHat Linux viel in Unternehmen genutzt. Was das Ziel der Angreifer war, ist unbekannt - aber unabhängig davon, ob es sich um Spionage oder Sabotage gehandelt hätte, wären die Schäden massiv gewesen. 

Hintergründe - Vorgehensweise der Angreifergruppe

Dass vor allem staatliche Angreifergruppen professionell vorgehen, ist schon lange bekannt. Der Aufwand und die Langfristigkeit in diesem Fall sind jedoch neu. So wurde unter Nutzung von Social-Engineering (“HUMINT”) Druck auf den Maintainer der XZ Utils ausgeübt, um anschließend einen neuen Maintainer (“Jia Tan”) als Hilfe zu platzieren. Dieser hat über 2 Jahre geholfen, das Projekt am Leben zu erhalten und Bugs zu beheben. Zusätzlich wurde bereits Mitte 2023 in oss-fuzz, einem Projekt, welches den Zweck verfolgt Schwachstellen und Anomalien in Open-Source-Projekten zu finden, ein Pull-Request gestellt, um eine Entdeckung des Schadcodes zu verhindern. Die langfristige Planung und Nutzung von Spionage-Techniken auf der menschlichen Ebene, um ein Projekt zu infiltrieren, ist in dieser Form neu. 

FAQ- Frequently Asked Questions

Hat OpenSource hier versagt?

Nein, im Gegenteil. Ein Angreifer brachte mit viel Aufwand und langer Vorbereitung Schadcode ein, welcher innerhalb weniger Tage gefunden wurde. In Close-Source Software, würde der Schadcode vermutlich nie gefunden werden, wenn der Hersteller nicht sehr viel Aufwand in Security-Practices investiert.

Warum wird in diesem Artikel von Accounts, nicht Personen gesprochen?

Da die Identitäten hinter den Accounts unklar sind, werden nur Account-Namen referenziert.

Ist eine Neuinstallation wirklich notwendig?

Insofern kein gutes Security Monitoring eingeführt ist, besteht eine gewisse Wahrscheinlichkeit, dass das System kompromittiert wurde, besonders bei Internet-Erreichbarkeit. Angreifer warten oft mehrere Tage, wenn nicht Wochen und Monate, bevor nach einer initialen Kompromittierung das wirkliche Ziel (z.B. Daten-Exfiltration) durchgeführt wird. Daher empfehlen wir für diese Systeme eine Neuinstallation / Wiederherstellung eines früheren Backups.

Disclaimer

Es treten ständig neue Informationen rund um die Backdoor in den XZ Utils auf. Wir werden den Artikel mit neuen Informationen aktualisieren, wenn diese bekannt werden. Alle Quellen für die Informationen im Artikel sind unter Referenzen aufgeführt.

IOCs / Rules

• https://github.com/byinarie/CVE-2024-3094-info/blob/main/CVE-2024-3094.yar

Referenzen

• https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094

• https://nvd.nist.gov/vuln/detail/CVE-2024-3094

• https://github.com/orgs/Homebrew/discussions/5243

• https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

• https://lists.debian.org/debian-security-announce/2024/msg00057.html

• https://infosec.exchange/@kalilinux/112180505434870941

• https://build.opensuse.org/request/show/1163302

• https://security.alpinelinux.org/vuln/CVE-2024-3094

• https://archlinux.org/news/the-xz-package-has-been-backdoored/

• https://www.openwall.com/lists/oss-security/

• https://www.openwall.com/lists/oss-security/2024/03/29/4

• https://x.com/robmen/status/1774067844785086775?s=20

• https://x.com/IanColdwater/status/1773797427603980393?s=20

• https://twitter.com/thegrugq/status/1774392858101039419

• https://twitter.com/fr0gger_/status/1774342248437813525/photo/1

Falls Ihnen dieser Blogpost gefallen hat - iSecNG bietet verschiedene Managed und Professional Services im Bereich Defensive- und Offensive-Security. Weitere Informationen finden Sie auf unserer Service-Seite.

01.04.2024, Dominik Sigl