Eine aktuelle Analyse hat ergeben, dass der Schadcode in der weit verbreiteten Open-Source-Bibliothek XZ Utils eingebettet ist (in mehreren Linux-Distributionen vorhanden) kann aktivieren Remotecodeausführung. Das Angriffsszenario basiert auf der kritischen Schwachstelle CVE-2024-3094.
CVE-2024-3094 erklärt
Dieser Kompromiss, identifiziert als CVE-2024-3094 mit einem CVSS-Score von 10.0, wurde vom Microsoft-Ingenieur und PostgreSQL-Entwickler Andres Freund ans Licht gebracht. Freund bemerkte beim System-Benchmarking eine ungewöhnlich hohe CPU-Auslastung durch SSHD-Prozesse, was zur Entdeckung einer Hintertür im Datenkomprimierungsprogramm XZ Utils führte. Diese Hintertür ermöglicht es entfernten Angreifern, die sichere Shell-Authentifizierung zu umgehen und vollständigen Zugriff auf betroffene Systeme zu erhalten.
Der bösartige Backdoor-Code wurde absichtlich von einem der Projektbetreuer eingeführt, Jia Tan (auch bekannt als Jia Cheong Tan oder JiaT75), in einem geplanten Angriff über mehrere Jahre. Die GitHub Das mit dieser Aktivität verknüpfte Konto wurde in erstellt 2021, sondern die Identität des Schauspielers(s) bleibt unbekannt. Berichten zufolge, Der Bedrohungsakteur erlangte innerhalb des XZ-Projekts fast zwei Jahre lang Glaubwürdigkeit, bevor ihm die Verantwortung als Betreuer übertragen wurde.
Der Angreifer nutzte Sockenpuppenkonten wie Jigar Kumar und Dennis Ens, um Funktionsanfragen einzureichen und Probleme zu melden, Druck auf den Originalwartungshalter ausüben, Lasse Collin vom Tukaani-Projekt, um einen neuen Co-Maintainer zum Repository hinzuzufügen. Jia Tan führte Änderungen an XZ Utils ein in 2023, was zur Veröffentlichung der Version führte 5.6.0 im Februar 2024, die eine ausgeklügelte Hintertür enthielt.
Collin bestätigte den Verstoß und dass die kompromittierten Release-Tarballs von Jia Tan erstellt und signiert wurden., wer Zugriff auf das jetzt deaktivierte GitHub-Repository hatte. Dieser Angriff auf die Lieferkette zeugt von beträchtlicher Raffinesse und mehrjähriger Planung, deutet wahrscheinlich auf staatlich geförderte Aktivitäten hin.
Eine eingehendere Analyse der Hintertür ergab, dass bestimmte Remote-Angreifer über ein SSH-Zertifikat beliebige Nutzlasten senden können, So können sie Befehle ausführen und die Kontrolle über den Computer des Opfers erlangen. Diese Hintertür stellt ein erhebliches Risiko für Maschinen mit anfälligen XZ Utils-Paketen dar, die dem Internet ausgesetzt sind.
Die zufällige Entdeckung der Hintertür durch Freund unterstreicht die Schwere dieses Supply-Chain-Angriffs, Dies hätte zu einem schwerwiegenden Sicherheitsvorfall führen können, wenn es in stabile Versionen von Linux-Distributionen integriert worden wäre. Dieser Vorfall unterstreicht, wie wichtig es ist, Werkzeuge und Prozesse einzusetzen, um Manipulationen und bösartige Funktionen sowohl in Open-Source- als auch in kommerzieller Software zu identifizieren..