Analyse von CVE-2024-3094: Mehrschichtiger Lieferkettenangriff durch Hintertür in XZ Utils beeinträchtigt große Linux-Distributionen
Inhaltsverzeichnis:
Cybersicherheitsexperten bleiben wachsam angesichts eines anhaltenden Angriffes auf die Lieferkette, der einen Schatten über die meistgenutzten Linux-Distributionen wirft. Mit seinem Ausmaß und seiner Raffinesse, die an berüchtigte Vorfälle wie Log4j and SolarWindserinnern, geht diese neue Bedrohung von einem mit einem Backdoor versehenen XZ Utils aus (ehemals LZMA Utils) – einem essentiellen Datenkomprimierungsprogramm, das in nahezu allen großen Linux-Distros zu finden ist. Um die Aufmerksamkeit auf diese bahnbrechende Bedrohung zu lenken, wurde dem heimtückischen Backdoor ein Sicherheitslücken-Identifikator CVE-2024-3094 mit einem Schweregrad von 10.0 zugewiesen.
XZ Utils Backdoor: Angriff auf die Linux-Lieferkette
Ein kritischer Kompromiss der Softwarelieferkette betrifft zwei weit verbreitete Versionen der Datenkompressionsbibliothek XZ Utils, die heimlich mit einem Backdoor versehen wurden. Das Backdoor ermöglicht es entfernten Angreifern, die Authentifizierung über Secure Shell (sshd) zu umgehen und ihnen vollen Zugriff auf die betroffenen Systeme zu gewähren. Dieser sorgfältig durchgeführte, mehrjährige Angriff deutet darauf hin, dass eine Person mit Zugangsrechten auf Wartungsebene das Backdoor absichtlich eingeführt hat.
Andres Freund, ein Microsoft-Softwareingenieur, der die verdächtige Fehlkonfiguration Ende März entdeckt hat, behauptet dass bösartige Strings in das Tarball-Downloadpaket innerhalb der XZ Utils Version 5.6.0, die im Februar 2024 ausgegeben wurde, eingeschleust wurden. Kurz darauf, in Version 5.6.1, aktualisierten die Bedrohungsakteure den bösartigen Code, um ihn mit zusätzlicher Verschleierung zu verbessern und einige Fehler in der Konfiguration zu beheben.
Freund erklärt, dass der bösartige Code durch eine Abfolge von Quellcode-Kommitierungen heimlich in das Tukaani-Projekt auf GitHub von einer Person namens Jia Tan (JiaT75) Anfang dieses Jahres integriert wurde. Das XZ Utils-Repository des Tukaani-Projekts auf GitHub wurde aufgrund von Verstößen bereits deaktiviert.
Bis jetzt sind die betroffenen XZ Utils-Versionen ausschließlich in instabilen und Beta-Editionen von Fedora, Debian, Kali, openSUSEund Arch Linux Distributionen aufgetaucht. Debian und Ubuntu haben bestätigt, dass keine ihrer stabilen Versionen die kompromittierten Pakete enthalten, um die Sicherheit der Benutzer zu gewährleisten. Zusätzlich behaupten Amazon Linux, Alpine Linux, Gentoo Linux und Linux Mint, von dem Backdoor-Vorfall nicht betroffen zu sein.
XZ Utils dient nicht nur in zahlreichen Linux-Distributionen als kritische Komponente, sondern auch als grundlegende Abhängigkeit für verschiedene Bibliotheken. Die Auswirkungen dieses Angriffs auf die Lieferkette ziehen sich durch das gesamte Software-Ökosystem. Da jedoch das Backdoor keinen Eingang in irgendeine stabile Linux-Distro gefunden hat, sind die möglichen Konsequenzen erheblich eingeschränkt.
CVE-2024-3094 Minderung: Risikoreduzierung im Zusammenhang mit XZ Utils Backdoor
Jeder oben erwähnte Hinweis der Betreuer großer Linux-Distributionen enthält Anleitungen für Benutzer, um schnell die Anwesenheit der kompromittierten XZ Utils-Versionen in ihren Codebasen zu erkennen. Red Hat hat proaktive Maßnahmen ergriffen, indem ein Update veröffentlicht wurde, das XZ auf vorherige Versionen zurücksetzt, mit der Absicht, es über seine Standard-Update-Kanäle zu verteilen. Benutzer, die sich Sorgen über potenzielle Angriffe machen, haben jedoch die Möglichkeit, den Update-Prozess zu beschleunigen.
CISA hat sich dem Aufruf angeschlossen, Organisationen, die betroffene Linux-Distributionen verwenden, aufzufordern, ihre XZ Utils auf eine vorherige Version zurückzusetzen. Sie betonen die Wichtigkeit, gewissenhaft nach Anzeichen von verdächtigen Aktivitäten im Zusammenhang mit dem Backdoor zu suchen und ihre Erkenntnisse umgehend mit der Cybersicherheitsgemeinschaft zu teilen.
Zusammenfassend sollte das Minderungshandbuch Folgendes beinhalten:
- Downgrading (oder Upgrade) von XZ Utils-Paketen auf eine sichere Version basierend auf den relevanten Anweisungen;
- Blockieren des externen SSH-Zugriffs;
- Netzwerksegmentierung.
Zusätzlich haben das SOC Prime Team zusammen mit Arnim Rupp, Nasreddine Bencherchali und Thomas Patzke verwandte Sigma-Regeln bereitgestellt, um Cyber-Verteidigern zu helfen, mögliche bösartige Aktivitäten im Zusammenhang mit der XZ Backdoor-Ausführung zu erkennen, die auf der SOC Prime Plattform verfügbar sind.
Mögliche Ausnutzung von CVE-2024-3094 – Verdächtiger SSH-Unterprozess
Beide Regeln helfen dabei, potenziell verdächtige Kindprozesse des SSH-Prozesses (sshd) mit einem bestimmten Ausführungsbenutzer zu erkennen, die möglicherweise mit CVE-2024-3094 in Verbindung stehen. Die Regeln sind kompatibel mit 28 SIEM-, EDR-, XDR- und Data Lake-Technologien und sind mit umfassender Bedrohungsinformationen angereichert.
SOC Primes Plattform für kollektive Cyber-Abwehr bietet die weltweit größte Sammlung von verhaltensbasierten Erkennungsalgorithmen, um die Angreifer-TTPs zu erkennen, unterstützt von innovativen Bedrohungsjagd- und Erkennungstechnologielösungen, die darauf ausgelegt sind, SOC-Operationen zu optimieren. Bleiben Sie Angreifern einen Schritt voraus und erkennen Sie proaktiv berüchtigte Bedrohungen, indem Sie sich auf SOC Prime stützen. Entdecken Sie mehr unter https://socprime.com/.
