Sicherheitslücke CVE-2024-3094 (XZ Backdoor) in Linux-Datenkomprimierungsbibliothek entdeckt
Red Hat hat am Freitag eine dringende Sicherheitswarnung zu zwei Versionen des weit verbreiteten Datenkomprimierungstools XZ Utils, früher bekannt als LZMA Utils, herausgegeben, die mit bösartigem Code kompromittiert wurden, der auf unbefugten Fernzugriff abzielt.
Die als CVE-2024-3094 identifizierte und mit einem Schweregrad von 10,0 bewertete Sicherheitslücke betrifft die XZ Utils-Versionen 5.6.0 (veröffentlicht am 24. Februar) und 5.6.1 (veröffentlicht am 9. März).
Laut Red Hat wird der kompromittierte Code innerhalb der liblzma-Bibliothek über einen komplexen Prozess während des Builds eingeschleust, wodurch Dateninteraktionen abgefangen und geändert werden können. Konkret zielt der Code darauf ab, den SSHD-Daemon-Prozess innerhalb der Systemd-Software-Suite zu manipulieren und unter bestimmten Bedingungen möglicherweise unbefugten Zugriff auf das System zu ermöglichen.
Backdoor ermöglicht beliebige Nutzlasten über SSH
Das ultimative Ziel dieser von JFrog identifizierten Hintertür besteht darin, Code in den OpenSSH-Server (SSHD) einzuschleusen, um es bestimmten Remote-Angreifern mit einem bestimmten privaten Schlüssel zu ermöglichen, vor der Authentifizierung beliebige Nutzlasten über SSH auszuführen und so im Wesentlichen die Kontrolle über den Computer des Opfers zu übernehmen.
Das Problem wurde vom Microsoft-Sicherheitsforscher Andres Freund ans Licht gebracht, der stark verschleierten Schadcode identifizierte, der durch eine Reihe von Commits in das GitHub-Repository des Tukaani-Projekts durch einen Benutzer namens Jia Tan (JiaT75) eingeführt wurde.
GitHub, im Besitz von Microsoft, hat Maßnahmen ergriffen und das XZ Utils-Repository aufgrund eines Verstoßes gegen seine Nutzungsbedingungen deaktiviert. Bisher wurden keine Fälle aktiver Ausbeutung in freier Wildbahn gemeldet.
Die betroffenen Pakete wurden nur in Fedora 41 und Fedora Rawhide gefunden und hatten keine Auswirkungen auf andere Distributionen wie Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise und Leap , und Ubuntu.