XZ Utils Backdoor

Am 29. März 2024 teilte der Softwareentwickler Andres Freund mit, er habe eine Backdoor im Linux-Utility xz gefunden; diese befände sich in der liblzma Bibliothek, betroffen seien die Versionen 5.6.0 und 5.6.1. der Komponente, welche im Februar 2024 veröffentlicht wurden.^[8]

Die Backdoor erlaubt es einem Angreifer, auf dem entsprechenden System Root-Rechte zu erlangen, wenn er über einen spezifischen Ed448 Schlüssel verfügt. Dies erlaubt eine Remote Code Execution. Der Issue hat das höchstmögliche Score im CVSS System erhalten, 10.0.^[9][10][11]

Andres Freund, Angestellter von Microsoft und ein Entwickler von PostgreSQL, meldete die Backdoor, welche er durch Performancemessungen in Debian Sid gefunden hatte.^[13] Freund hatte festgestellt, dass SSH-Verbindungen zu einer hohen Systemlast führten, und bei Valgrind,^[14] einem Tool zum Memory-Debugging, Fehler verursachten.^[15] Er meldete seine Funde der Openwall Security Mailingliste.^[14] Durch diese Meldung wurden verschiedene Hersteller auf das Problem aufmerksam.^[15] Es gibt Hinweise, dass die Angreifer versuchten, die Funktion des Codes zu verschleiern.^[16][17] Der Wirkmechanismus der Backdoor umfasst mehrere Schritte.^[18]

Sobald die kompromittierte Version in ein System eingebunden wird, verändert sie das Verhalten des SSH-Daemons von OpenSSH: Systemd wird missbraucht, um dem Angreifer Root-Rechte auf dem System zu geben.^[15][18] Gemäß Red Hat kann ein Hacker aus der Ferne dadurch die SSH-Authentifizierung umgehen und von Ferne unbefugten Zugriff zum System erhalten.^[19]

Eine weitere Untersuchung fand heraus, dass die Kampagne, die Backdoor in das XZ Utils Paket einzubringen, etwa drei Jahre dauerte. Ein Benutzer namens Jia Tan mit dem Pseudonym JiaT75 erlangte eine Position des Vertrauens innerhalb des Projektes. Nach einiger Zeit und etwas Sockpuppetry war es ihm möglich, die Versionen 5.6.0, welche die Backdoor einführte, und die Nachfolgeversion 5.6.1 als Ko-Maintainer zu signieren.^[15] Version 5.6.1 fügte weiteren Code ein. Weitere wahrscheinlich beteiligte Charaktere sind unter den Pseudonymen Jigar Kumar, krygorin4545, und misoeater91 bekannt. Es wird angenommen, dass es sich bei allen Namen, sowie beim Namen des angeblichen Autors, Hans Jensen, um Pseudonyme handelt. Die entsprechenden Personen existieren nicht außerhalb des Projekts, oder sie haben nichts mit dem Projekt zu tun.^[20][21]

Auffällig waren bei der Backdoor die komplexe Ausführung und die Tatsache, dass die Hacker über weitgehende Kenntnisse in Betriebssicherheit (OPSEC) verfügten; dies war nötig, um die Vertrauensposition innerhalb des Projekts zu erreichen.

Der Name der verdächtigten Person, als auch die verwendete Zeitzone sollen laut Experten den Eindruck erwecken, es handle sich um eine Person aus China. Tatsächlich deuten Analysen allerdings darauf hin, dass die Person in der Zeitzone UTC+2 oder UTC+3 arbeitete, welche in Osteuropa bzw. Westrussland liegen. So war der verdächtigte Nutzer zum Beispiel nie an Weihnachten oder Neujahr aktiv, arbeitete aber an chinesischen Feiertagen.^[22] Dave Aitel, ein amerikanischer Sicherheitsforscher, merkte an, dass das Verhaltensmuster zu APT29/Cozy Bear passe, einer Hacker-Gruppe, welche im Auftrag der russischen Regierung agiert und enge Geheimdienstverstrickungen hat.^[23] Andere Personen glauben, es könne sich um einen beliebigen staatlichen oder um einen privatwirtschaftlichen Akteur mit großen Ressourcen handeln.^[24]

Der Schadcode ist in den Versionen 5.6.0 und 5.6.1 der XZ Utils enthalten. Der Exploit wird nur aktiv, wenn er von einem spezifischen Drittquellen-Patch des SSH-Servers aktiviert wird. Unter den richtigen Voraussetzungen kann dies einem böswilligen Akteur erlauben, die Authentifizierung zu umgehen und unerlaubterweise Fernzugriff auf das System zu erhalten.^[19] Der Mechanismus besteht aus zwei komprimierten Testdateien, welche binären Schadcode enthalten. Diese sind im git-Repository verfügbar, aber sie bleiben inaktiv, bis sie entpackt und ins Programm injiziert werden.^[11] Der Code benutzt den IFUNC Mechanismus von glibc um die bestehende OpenSSH-Funktion RSA_public_decrypt durch eine Version mit Schadcode zu ersetzen. OpenSSH setzt im Normalfall kein liblzma ein, aber ein verbreiteter Patch führt zum Einsatz von libsystemd, welches lzma lädt.^[11]

Eine modifizierte Version der Datei build-to-host.m4 war im Release auf github ebenfalls enthalten. Dieses Skript extrahiert die Testdateien und führt die Code-Injection durch. Dieses Skript war nicht im Repository, es fand sich lediglich in tar-Dateien, welche vom Maintainer separat von git released wurden.^[11] Das Skript scheint die Injection nur auszuführen, wenn das Programm auf einer x86-64 Architektur gebaut wird, glibc und GCC zum Bauen verwendet wird, und der Buildprozess von dpkg oder rpm gesteuert wird.^[11]

• Der Standard: Wie die Computerwelt gerade haarscharf an einer Sicherheitskatastrophe vorbeigeschrammt ist. Abgerufen am 29. Mai 2025 (österreichisches Deutsch).
• heise online: Aktenzeichen XZ ungelöst. 10. April 2024, abgerufen am 29. Mai 2025.
• Patrick Beuth, Torsten Kleinz: Hintertür in xz: Knapp am Computer-GAU vorbei. In: Der Spiegel. 4. April 2024, ISSN 2195-1349 (spiegel.de [abgerufen am 29. Mai 2025]).
• Das Netz Ist Politisch: Wer ist «Jia Tan»? Eine Spurensuche zur xz-Backdoor. 14. Mai 2024, abgerufen am 29. Mai 2025 (Schweizer Hochdeutsch).
• Kevin Roose: Did One Guy Just Stop a Huge Cyberattack? In: The New York Times. 3. April 2024, ISSN 0362-4331 (nytimes.com [abgerufen am 29. Mai 2025]).
• Andy Greenberg: The Mystery of ‘Jia Tan,’ the XZ Backdoor Mastermind. In: Wired. ISSN 1059-1028 (wired.com [abgerufen am 29. Mai 2025]).
• Amrita Khalid: How one volunteer stopped a backdoor from exposing Linux systems worldwide. In: The Verge. 2. April 2024 (theverge.com [abgerufen am 29. Mai 2025]).

• Offizielle Website
• CVE-2024-3094
• Blogseite von Red Hat mit Details zur Backdoor
• „The Internet Was Weeks Away From Disaster and No One Knew“ – Video des YouTube-Wissenschaftskanals Veritasium