Kritische Sicherheitslücke durch Backdoor in XZ-Tools

Kritische Sicherheitslücke durch Backdoor in XZ-Tools

Am Freitag, den 29.03.2023, wurde eine erschreckende Sicherheitsbedrohung entdeckt: Bösartiger Code wurde in den XZ-Tools und den zugehörigen Bibliotheken identifiziert. Diese Entdeckung hat das Potenzial, weitreichende Auswirkungen auf die Cybersicherheit zu haben. Die bedrohliche Backdoor ermöglicht es Angreifern, Code auf kompromittierten Systemen auszuführen und somit die vollständige Kontrolle über Server zu erlangen. Es ist von größter Dringlichkeit, dass Administratoren sofort Maßnahmen ergreifen, da auch das weit verbreitete OpenSSH betroffen ist. Diese Sicherheitslücke wird mit einem CVSS Score von 10.0 bewertet, was auf ihre kritische Natur hinweist.

Ursprung und Verbreitung

Forschungen haben eine bösartige Backdoor in dem Komprimierungstool XZ-Tools identifiziert. Diese Backdoor hat sich in verschiedenen Linux-Distributionen ausgebreitet, einschließlich solcher von Red Hat und Debian. Diese weitreichende Verbreitung stellt eine ernsthafte Gefahr für die Sicherheit von Systemen dar. Die identifizierte Schwachstelle hat den höchstmöglichen CVSS Score von 10.0, was auf die Dringlichkeit der Reaktionen auf diese Bedrohung hinweist.

Die genauen Auswirkungen dieser Schwachstelle sind derzeit noch nicht vollständig bekannt. Es gibt keine bekannten Sicherheits-Tools, die speziell darauf ausgelegt sind, Angriffe auf diese Lücke zu erkennen. Die Bezeichnung CVE-2024-3094 wurde dieser Sicherheitslücke zugewiesen, und sie kann möglicherweise durch die Verwendung einer Yara-Regel identifiziert werden. Dies unterstreicht die Dringlichkeit für Entwickler und Sicherheitsanalysten, die Situation genau zu überwachen und geeignete Gegenmaßnahmen zu ergreifen.

Hintergründe des Angriffs und beteiligte Akteure

Der Angriff wurde von einem Benutzer namens „Jia Tan“ geplant und ausgeführt, der seit 2021 auf der Plattform GitHub aktiv ist. Durch verschiedene Täuschungsmanöver gelang es ihm, Zugang zum XZ-Projekt zu erlangen und den Code der Tools zu kompromittieren. Dabei nutzte er verschiedene Pseudonyme wie „Hans Jansen“, „krygorin4545“ und „misoeater91“. Selbst Microsoft-Entwickler wurden auf diesen Angriff aufmerksam, und er wurde in einem Beitrag auf openwall.com näher erläutert.

Verbreitung des Schadcodes und empfohlene Schutzmaßnahmen

Der Schadcode wird mithilfe eines RSA-Schlüssels übertragen. Dies bedeutet, dass der Trojaner bereits aktiv werden kann, wenn Anwender oder Administratoren eine SSH-Verbindung zu den betroffenen Linux-Servern herstellen. Diese Gefahr besteht selbst dann, wenn keine Authentifizierung erfolgt. Es ist dringend ratsam, dass Administratoren unverzüglich prüfen, ob ihre verwendete Distribution betroffen ist, und sofortige Aktualisierungen installieren, sobald sie verfügbar sind. Dies ist ein wesentlicher Schritt, um die Sicherheit der Systeme zu gewährleisten und potenzielle Angriffe abzuwehren.

Facebook
LinkedIn
Twitter
XING
Email

Jüngste Beiträge

Kategorien
Schlagwörter
Nach oben scrollen
Die neuesten Cybernews

Melde dich zu unserem Newsletter an!

Sei deinen Angreifern immer einen Schritt voraus mit den aktuellen Cybersecurity News!

Privatsphäre-Einstellungen

Entscheiden Sie, welche Cookies Sie zulassen möchten. Sie können diese Einstellungen jederzeit ändern. Dies kann jedoch dazu führen, dass einige Funktionen nicht mehr zur Verfügung stehen. Informationen zum Löschen der Cookies finden Sie in der Hilfe Ihres Browsers. ERFAHREN SIE MEHR ÜBER DIE VON UNS VERWENDETEN COOKIES.

Mit dem Schieberegler können Sie verschiedene Arten von Cookies aktivieren oder deaktivieren:

  • alles blockieren
  • Wesentliches
  • Funktionalität
  • Analytik
  • Werbung

Diese Website wird

Diese Website wird nicht

  • Remember which cookies group you accepted
  • Grundlegend: Merken Sie sich Ihre Cookie-Berechtigungseinstellungen
  • Wesentlich: Session-Cookies zulassen
  • Wichtig: Sammeln Sie Informationen, die Sie in Kontaktformulare, Newsletter und andere Formulare auf allen Seiten eingeben
  • Grundlegend: Verfolgen Sie, was Sie in einen Einkaufswagen eingeben
  • Wichtig: Authentifizieren Sie, dass Sie in Ihrem Benutzerkonto angemeldet sind
  • Grundlegend: Merken Sie sich die von Ihnen gewählte Sprachversion
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
  • Merken Sie sich Ihre Login-Daten
  • Grundlegend: Merken Sie sich Ihre Cookie-Berechtigungseinstellungen
  • Wesentlich: Session-Cookies zulassen
  • Wichtig: Sammeln Sie Informationen, die Sie in Kontaktformulare, Newsletter und andere Formulare auf allen Seiten eingeben
  • Grundlegend: Verfolgen Sie, was Sie in einen Einkaufswagen eingeben
  • Wichtig: Authentifizieren Sie, dass Sie in Ihrem Benutzerkonto angemeldet sind
  • Grundlegend: Merken Sie sich die von Ihnen gewählte Sprachversion
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
Speichern & Schließen