Böser Angriff auf Linux Server abgewendet

[Querfront]

Hab gerade durch Zufall diesen Link zu Danisch angeklickt.

[Links nur für registrierte Nutzer]

IT-Sicherheitskatastrophe durch Code of Conduct?

Sind wir gerade nur knapp am totalen IT-Fuckup vorbei?

Und wissen wir vielleicht noch nicht einmal, was da noch droht?

Das Problem ist, dass am aktuellen Fall vieles noch unklar ist, und dass das, was klar ist, schwer laienverständlich zu erklären ist.

Ich fange mal so an:

Zu den wichtigsten und sicherheitsrelevantesten Programmen überhaupt im Unix/Linux-Bereich gehört der sogenannte ssh-Dämon. ssh (secure shell) ist das Programm, mit dem man sich auf anderen Rechnern einloggt und dort dann auch Administrator (root) wird, womit man also den gesamten Rechner kontrolliert. Wer in diesem ssh-Dämon (sshd) eine Lücke ausnutzen kann, der kann dann jeden Rechner übernehmen, bei dem er an den ssh-Dämon kommt, je nach Art der Lücke. Und das ist übel, weil große Teile der Server und der ganzen Internetdienste auf Linux laufen und damit den ssh-Dämon verwenden, um den Zugang sicher zu steuern.

Und genau das ist nun passiert, ein Angreifer hat es geschafft, da irgendwie eine Sicherheitslücke reinzuschmuggeln. Angeblich eine ganz böse, mit der man noch vor der Authentifikation Schadcode ausführen kann, man also überhaupt keine Zugangsdaten braucht (etwas anderes wäre es beispielsweise, wenn man Zugangsdaten für einen Benutzer bräuchte, und sich damit als jemand anderes einzuloggen, aber hier war es die Möglichkeit, direkt Schadcode mit Root-Rechten auszuführen, also der Jackpot).

Nur dem Zufall und einem aufmerksamen Programmierer namens Andres Freund (ironischerweise bei Microsoft), dem auffiel, dass da was nicht stimmt, ist es zu verdanken, dass der Angriff zu einem Zeitpunkt entdeckt wurde, als die Lücke noch – nach derzeitigem Wissen – nur in den Entwicklungsversionen und noch nicht in den Produktivversionen der Systeme war.

Ich stecke nicht so tief in der Materie. Ist da was dran an dem, was Danisch da schreibt? Droht da noch mehr?

[Klopperhorst]

Hab gerade durch Zufall diesen Link zu Danisch angeklickt.

[Links nur für registrierte Nutzer]



Ich stecke nicht so tief in der Materie. Ist da was dran an dem, was Danisch da schreibt? Droht da noch mehr?

Man kann es wohl so prüfen, ob die schädliche Version auf dem Server ist.

Im Zentrum des Problems steht ein bösartiger Code, der in den Versionen 5.6.0 und 5.6.1 von XZ Utils versteckt wurde.

Wir haben 5.2.4, also alles sicher.

Code:

for xz_p in $(type -a xz | awk '{print $NF}' | uniq); do strings "$xz_p" | grep "xz (XZ Utils)" || echo "No match found for $xz_p"; done

[Links nur für registrierte Nutzer]

---

[Klopperhorst]

Hab gerade durch Zufall diesen Link zu Danisch angeklickt.

[Links nur für registrierte Nutzer]



Ich stecke nicht so tief in der Materie. Ist da was dran an dem, was Danisch da schreibt? Droht da noch mehr?

Also:
Es soll sich um eine Manipulation der Open Source-Software gz-Utils (Basis für viele andere Anwendungen, u.a. SSH-Zugriff für Linux-Server) handeln.
Die Manipulation geschah auf der Sourcecode-Verwaltung GitHub durch einen Programmierer, der Jahre das Vertrauen des Projektbetreibers erlangte.
Am Ende hat er den Projektleiter wohl durch kompromittierende Privatinfos erpresst, um mehr Zugriff auf die Entwicklung zu erlangen.

Man munkelt, es handelt sich um einen staatlichen Auftraggeber.

Die Hintertür im Sourcecode ist allerdings nur in einer instabilen (also noch nicht offiziellen) Debian-Version aufgefallen.
Einem Tester fielen ungewöhnlich lange Antwortzeiten und CPU-Last in dieser Bibliothek auf.

Eine weitgehende Verbreitung wurde durch die frühe Erkennung allerdings verhindert.

---

[Querfront]

Danke für die Info. Das hörte sich bei Danish schon fast nach Zombie Apokalypse an. Er dramatisiert halt gerne.

[Klopperhorst]

Danke für die Info. Das hörte sich bei Danish schon fast nach Zombie Apokalypse an. Er dramatisiert halt gerne.

Das wäre nur bei weiterer Verbreitung durch Eingang in eine stabile, offizielle Debian-Version der Fall.
Allerdings hätte das Ding dann auch Jahre unentdeckt bleiben müssen, bis eine kritische Masse an neuen Servern infiziert worden wäre.

Dann hätte der Akteur nämlich Zugriff auf alle diese Server erlangt.

---