XZ Utils-Vorfall: Open Source als Software Supply Chain-Falle

Linux Distributionen werden in vielerlei Server-Applikationen eingesetzt. Diese dienen oftmals der Verarbeitung großer Datenmengen. Somit war der Schadcode sehr gut platziert, um sensitive Daten zu erbeuten.

Voller Zugriff auf die Systeme

Bemerkenswert ist zweierlei: Der Schadcode war extrem gut versteckt, wurde über mehrere Commits, also in mehreren Schritten durch einen Entwickler, eingespeist. Außerdem war der Code so angelegt, dass er im Endeffekt einen weiteren Schlüssel für den Fernzugriff über SSH auf die Server ermöglichte. Die Modifizierung der Fernverwaltungsschnittstelle auf diese Art und Weise ist sehr effektiv. Damit erhalten Angreifer vollen Zugriff auf die Systeme. Dementsprechend wird die Schwachstelle auch mit Grad 10 von 10 bewertet und gilt als sehr gefährlich. In betroffenen Systemen, vor allem Fedora basierte, empfiehlt es sich die Bibliothek auf einen früheren Stand zurückzusetzen.

Sensibilisierung durch Social Engineering

Das koordinierte Vorgehen mehrerer Entwickler über einen längeren Zeitraum unter dem Einsatz von gefälschten Konten ähnelt Maschen aus dem Anwenderbetrug. Social Engineering, ganz gleich ob in der Phishing-E-Mail oder beim Commit von Schadsoftware, nutzt den Faktor Mensch aus, um Sicherheitsvorkehrungen zu umgehen. Das passiert, wenn Betrüger nicht autorisierte Zahlungen erzwingen, wie in Honkong kürzlich mit 25 Millionen US-Dollar geschehen, auch wenn es um das Commit einer Backdoor geht. Die Sensibilisierung durch Social Engineering-Methoden ist also in jedem Fall notwendig und sollte auch im Secure Software Development Lifecycle als menschliche Komponente berücksichtigt werden.

Open Source-Pakete nie blind nutzen

Der Vorfall zeigt auch auf, dass der Umgang mit Open Source Software verantwortungsbewusst erfolgen muss. Das bedeutet, Patch-Management und Versionsmanagement sind absolut notwendig. So kann im Notfall zurückgerollt werden oder bekannte Schwachstellen schnell adressiert werden. Außerdem sollten Entwickler Open Source-Pakete niemals blind nutzen, sondern immer einem Secure Software Development Lifecycle folgen. So kann bereits während der Entwicklung getestet werden und Risiken von Softwareimplementierungen können ganzheitlich verwaltet werden. Es sieht ganz danach aus, dass die allermeisten hier mit einem blauen Auge davonkommen. Nur sehr wenige werden die neusten Versionen von Fedora und co. im Einsatz haben, welche die Schwachstelle beinhalten. Der Entwickler Andres Freund hat die Schwachstelle gerade noch rechtzeitig erkannt. Hier hat das Open Source-Konzept also funktioniert.

Dr. Martin J. Krämer

ist Security Awareness Advocate bei KnowBe4.

Roger Homrich

Recent Posts

Gefahren im Foxit PDF-Reader

Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.

2 Tagen ago

Bitdefender entdeckt Sicherheitslücken in Überwachungskameras

Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.

2 Tagen ago

Top-Malware in Deutschland: CloudEye zurück an der Spitze

Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…

2 Tagen ago

Podcast: „Die Zero Trust-Architektur ist gekommen, um zu bleiben“

Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…

3 Tagen ago

Google schließt weitere Zero-Day-Lücke in Chrome

Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…

3 Tagen ago

Hacker greifen Zero-Day-Lücke in Windows mit Banking-Trojaner QakBot an

Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…

3 Tagen ago