Xz Backdoor: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Zeile 1: | Zeile 1: | ||
+ | =Grundsätzliches= | ||
* Ein Backdoor in SSH wurde durch die Bibliotheken liblzma 5.6.0 und 5.6.1 in Debian und Fedora eingebaut | * Ein Backdoor in SSH wurde durch die Bibliotheken liblzma 5.6.0 und 5.6.1 in Debian und Fedora eingebaut | ||
* Es erlaubt dem Inhaber eines speziellen privaten Schlüssels Zugang zu '''jedem''' SSH-Server mit root-Rechten | * Es erlaubt dem Inhaber eines speziellen privaten Schlüssels Zugang zu '''jedem''' SSH-Server mit root-Rechten |
Aktuelle Version vom 12. April 2024, 15:55 Uhr
Grundsätzliches
- Ein Backdoor in SSH wurde durch die Bibliotheken liblzma 5.6.0 und 5.6.1 in Debian und Fedora eingebaut
- Es erlaubt dem Inhaber eines speziellen privaten Schlüssels Zugang zu jedem SSH-Server mit root-Rechten
- Dieser Hack erforderte jahrelanges Social Engineering und der Payload wurde sehr ungewöhnlich versteckt
- Die Entdeckung der Backdoor verdanken wir Andres Freund
Timeline
2005 - 2008
- Lasse Collin entwickelt mit Hilfe einiger anderer das .xz-Dateiformat welches den LZMA-Algorithmus für Komprierung verwendet
- Aufgrund der Effizienz der Komprimierung wächst die Verwendung der Software
2021
- JiaT75 (Jia Tan) erstellt seinen GitHub Account
- Dieser Account ist verantwortlich für den Einbau der Backdoor
- Bisher ist unbekannt ob es sich dabei um eine einzelne Person oder einer Gruppe handelt
2022
- Jia Tan erstellt einen harmlosen Patch
- Eine Fake Persona namens Jigar Kumar drängt Lasse Collin diesen Patch aufzunehmen
- Die Idee Jia Tan zum Co-Maintainer zu machen wird Lasse Collin eingepflanzt
2023
- Am 7. Januar 2023 scheint Jia Tan das volle Vertrauen erlangt zu haben, da er Patches in liblzma mergen darf
- Die Testinfrastruktur für den kommenden Backdoor wird in den Source Code mit aufgenommen
2024
- am 9. März 2024 schreibt Jia Tan Code für anscheinend reguläre Softwaretests
- Diese enthalten jedoch tief versteckt ein Backdoor für SSH-Server, welche liblzma als Abhängigkeit haben
Entdeckung
- Ein Microsoft Entwickler namens Andres Freund entdeckt die Backdoor aufgrund eines komischen CPU-Spikes bei neueren SSH-Server Versionen
- Diese plötzliche Beanspruchung an Ressourcen führt zu einer 500ms längeren Login-Dauer, was ihm verdächtig vorkam
- Er entdeckt die Backdoor im Source Code und macht es öffentlich bekannt
- Security Researcher versuchen die Funktionsweise und Ausmaße der Backdoor zu verstehen: https://gynvael.coldwind.pl/?lang=en&id=782