{"id":31049,"date":"2024-04-03T14:11:38","date_gmt":"2024-04-03T12:11:38","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=31049"},"modified":"2024-04-03T14:11:38","modified_gmt":"2024-04-03T12:11:38","slug":"cve-2024-3094-vulnerability-backdoor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/cve-2024-3094-vulnerability-backdoor\/31049\/","title":{"rendered":"B\u00f6sartiger Code in Linux-Distributionen entdeckt"},"content":{"rendered":"<p>Unbekannte Akteure haben b\u00f6sartigen Code in die Versionen 5.6.0 und 5.6.1 des Open-Source-Komprimierungsprogramms XZ Utils eingeschleust. Zudem ist es den trojanisierten Tools gelungen, ihren Weg in mehrere popul\u00e4re Linux-Builds zu finden, die im M\u00e4rz dieses Jahres ver\u00f6ffentlicht wurden, sodass dieser Vorfall als Angriff auf die Versorgungskette betrachtet werden k\u00f6nnte. Diese Sicherheitsl\u00fccke wurde <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2024-3094\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2024-3094<\/a> zugeordnet.<\/p>\n<p><strong>Was macht dieses b\u00f6sartige Implantat so gef\u00e4hrlich?<\/strong><\/p>\n<p>Zun\u00e4chst behaupteten verschiedene Forscher, dass diese Hintert\u00fcr es Angreifern erm\u00f6glicht, die Authentifizierung von <a href=\"https:\/\/www.ssh.com\/academy\/ssh\/sshd\" target=\"_blank\" rel=\"noopener nofollow\">sshd<\/a> (dem OpenSSH-Serverprozess) zu umgehen und aus der Ferne unbefugten Zugriff auf das Betriebssystem zu erhalten. Nach <a href=\"https:\/\/bsky.app\/profile\/filippo.abyssdomain.expert\/post\/3kowjkx2njy2b\" target=\"_blank\" rel=\"noopener nofollow\">neuesten Informationen<\/a> sollte diese Schwachstelle jedoch nicht als \u201eAuthentifizierungsumgehung\u201c, sondern als \u201eRemote Code Execution\u201c (<a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/remote-code-execution-rce\/\" target=\"_blank\" rel=\"noopener\">RCE<\/a>) eingestuft werden. Die Hintert\u00fcr f\u00e4ngt die Funktion <a href=\"https:\/\/www.openssl.org\/docs\/manmaster\/man3\/RSA_public_decrypt.html\" target=\"_blank\" rel=\"noopener nofollow\">RSA_public_decrypt<\/a> ab, verifiziert die Signatur des Hosts mit dem festen Schl\u00fcssel Ed448 und f\u00fchrt bei erfolgreicher Verifizierung b\u00f6sartigen Code aus, der vom Host \u00fcber die Funktion system() \u00fcbergeben wird, ohne Spuren in den sshd-Protokollen zu hinterlassen.<\/p>\n<p>\u00a0<\/p>\n<h2>Welche Linux-Distributionen enthalten b\u00f6sartige Dienstprogramme und welche sind sicher?<\/h2>\n<p>Es ist bekannt, dass die XZ Utils Versionen 5.6.0 und 5.6.1 in den M\u00e4rz-Builds der folgenden Linux-Distributionen enthalten waren:<\/p>\n<ul>\n<li>Kali Linux, aber laut dem <a href=\"https:\/\/www.kali.org\/blog\/about-the-xz-backdoor\/\" target=\"_blank\" rel=\"noopener nofollow\">offiziellen Blog<\/a> nur diejenigen, die zwischen dem 26. und 29. M\u00e4rz verf\u00fcgbar waren (der Blog enth\u00e4lt auch Anweisungen, wie Sie nach verwundbaren Versionen von Dienstprogrammen suchen k\u00f6nnen);<\/li>\n<li>openSUSE Tumbleweed und openSUSE MicroOS, <a href=\"https:\/\/news.opensuse.org\/2024\/03\/29\/xz-backdoor\/\" target=\"_blank\" rel=\"noopener nofollow\">verf\u00fcgbar vom 7. bis 28. M\u00e4rz<\/a>;<\/li>\n<li>Fedora 41, Fedora Rawhide, und Fedora Linux 40 beta;<\/li>\n<li>Debian (<a href=\"https:\/\/lists.debian.org\/debian-security-announce\/2024\/msg00057.html\" target=\"_blank\" rel=\"noopener nofollow\">nur testing, unstable und experimentelle Distributionen<\/a>);<\/li>\n<li>Arch Linux \u2013 Container-Images verf\u00fcgbar vom 29. Februar bis 29. M\u00e4rz. Auf der Website <a href=\"https:\/\/archlinux.org\/news\/the-xz-package-has-been-backdoored\/\" target=\"_blank\" rel=\"noopener nofollow\">org<\/a> hei\u00dft es jedoch, dass dieser Angriffsvektor aufgrund seiner Implementierungsbesonderheiten in Arch Linux nicht funktioniert. Dennoch wird dringend empfohlen, das System zu aktualisieren.<\/li>\n<\/ul>\n<p>Offiziellen Informationen zufolge sind Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise, openSUSE Leap und Debian Stable nicht gef\u00e4hrdet. Bei anderen Distributionen wird empfohlen, sie manuell auf das Vorhandensein von trojanisierten Versionen von XZ Utils zu \u00fcberpr\u00fcfen.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Eine in XZ Utils implantierte Hintert\u00fcr hat ihren Weg in beliebte #Linux-Distributionen gefunden.<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Fzf18&amp;text=Eine+in+XZ+Utils+implantierte+Hintert%C3%BCr+hat+ihren+Weg+in+beliebte+%23Linux-Distributionen+gefunden.\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<h2>Wie konnte der b\u00f6sartige Code in die XZ Utils eingeschleust werden?<\/h2>\n<p>Offenbar handelte es sich um einen <a href=\"https:\/\/orca.security\/resources\/blog\/critical-xz-utils-supply-chain-compromise-affects-multiple-linux-distributions-cve-2024-3094\/\" target=\"_blank\" rel=\"noopener nofollow\">typischen Fall<\/a> von Kontroll\u00fcbergabe. Die Person, die das Projekt XZ Libs urspr\u00fcnglich auf GitHub verwaltet hat, hat die Kontrolle \u00fcber das Repository an ein Konto weitergegeben, das seit mehreren Jahren zu einer Reihe von Repositories im Bereich der Datenkompression beitr\u00e4gt. Und irgendwann hat jemand hinter diesem anderen Konto eine Hintert\u00fcr in den Code des Projekts eingebaut.<\/p>\n<h2>Die Beinahe-Epidemie, die nie stattfand<\/h2>\n<p>Laut Igor Kuznetsov, Leiter unseres Global Research and Analysis Team (GReAT), k\u00f6nnte die Ausnutzung von CVE-2024-3094 der gr\u00f6\u00dfte Angriff auf das Betriebssystem Linux in seiner gesamten Geschichte gewesen sein. Das liegt daran, dass er in erster Linie auf SSH-Server abzielte \u2013 das wichtigste Remote-Management-Tool aller Linux-Server im Internet. W\u00e4re er in stabilen Distributionen gelandet, h\u00e4tten wir wahrscheinlich eine gro\u00dfe Anzahl von Server-Hacks erlebt. Gl\u00fccklicherweise wurde CVE-2024-3094 jedoch in den Test- und Rolling-Distributionen bemerkt \u2013 wo die neuesten Softwarepakete verwendet werden. Das hei\u00dft, die meisten Linux-Benutzer blieben sicher. Bislang haben wir noch keine F\u00e4lle entdeckt, in denen CVE-2024-3094 tats\u00e4chlich ausgenutzt wurde.<\/p>\n<h2>So bleiben Sie sicher?<\/h2>\n<p>Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) <a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2024\/03\/29\/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094\" target=\"_blank\" rel=\"noopener nofollow\">empfiehlt<\/a> allen, die im M\u00e4rz betroffene Betriebssysteme installiert oder aktualisiert haben, XZ Utils sofort auf eine fr\u00fchere Version (z.B. Version 5.4.6) herunterzustufen. Und auch nach b\u00f6sartigen Aktivit\u00e4ten zu suchen.<\/p>\n<p>Wenn Sie eine Distribution mit einer verwundbaren Version von XZ Utils installiert haben, ist es au\u00dferdem sinnvoll, alle Anmeldeinformationen zu \u00e4ndern, die von den Bedrohungsakteuren m\u00f6glicherweise aus dem System gestohlen werden k\u00f6nnten.<\/p>\n<p>Sie k\u00f6nnen das Vorhandensein einer Sicherheitsl\u00fccke mit der <a href=\"https:\/\/github.com\/Neo23x0\/signature-base\/blob\/master\/yara\/bkdr_xz_util_cve_2024_3094.yar\" target=\"_blank\" rel=\"noopener nofollow\">Yara-Regel f\u00fcr CVE-2024-3094<\/a> erkennen.<\/p>\n<p>Wenn Sie den Verdacht haben, dass sich ein Angreifer Zugang zur Infrastruktur Ihres Unternehmens verschafft hat, empfehlen wir Ihnen, den Dienst <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/cybersecurity-services?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Compromise Assessment<\/a> zu nutzen, um fr\u00fchere oder laufende Angriffe aufzudecken.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"27282\">\n","protected":false},"excerpt":{"rendered":"<p>Eine in XZ Utils implantierte Hintert\u00fcr hat ihren Weg in beliebte Linux-Distributionen gefunden.<\/p>\n","protected":false},"author":2698,"featured_media":31050,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[1895,2757,938,1498,3802],"class_list":{"0":"post-31049","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-backdoors","11":"tag-hinterturen","12":"tag-linux","13":"tag-schwachstellen","14":"tag-supply-chain-angriff"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cve-2024-3094-vulnerability-backdoor\/31049\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cve-2024-3094-vulnerability-backdoor\/27244\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cve-2024-3094-vulnerability-backdoor\/22549\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cve-2024-3094-vulnerability-backdoor\/29918\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cve-2024-3094-vulnerability-backdoor\/27416\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cve-2024-3094-vulnerability-backdoor\/27136\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cve-2024-3094-vulnerability-backdoor\/29815\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cve-2024-3094-vulnerability-backdoor\/28632\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cve-2024-3094-vulnerability-backdoor\/37222\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cve-2024-3094-vulnerability-backdoor\/50873\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cve-2024-3094-vulnerability-backdoor\/21666\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cve-2024-3094-vulnerability-backdoor\/22371\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cve-2024-3094-vulnerability-backdoor\/27597\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cve-2024-3094-vulnerability-backdoor\/33423\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cve-2024-3094-vulnerability-backdoor\/33050\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/linux\/","name":"Linux"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/31049","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2698"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=31049"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/31049\/revisions"}],"predecessor-version":[{"id":31052,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/31049\/revisions\/31052"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/31050"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=31049"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=31049"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=31049"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}