Stand 5.4.2024 – Am 29. März 2024 gab Red Hat (Linux) bekannt, dass in den Versionen 5.6.0 und 5.6.1 der xz-Tools und -Bibliotheken Schadcode entdeckt wurde. Die Sicherheitslücke wurde als CVE-2024-3094 veröffentlicht. Der Schadcode ermöglicht es Angreifern, die Authentifizierung in sshd über systemd zu umgehen. Initial waren Fedora 40 und 41 und Fedora Rawhide innerhalb der Red Hat-Familie betroffen. Inzwischen sind auch andere Linux-Distributionen betroffen.
Handlungsempfehlungen von agilimo
Sofort-Maßnahmen gegen kritische Hintertür in xz-Bibliothek
1. Stoppen Sie die Nutzung von Fedora 40 und 41 sowie Fedora Rawhide, wenn möglich.
2. Downgrade durchführen: Setzen Sie xz auf eine ältere, stabile Version zurück. SUSE hat hierfür bereits ein Downgrade-Verfahren veröffentlicht.
3. Überprüfung anderer Distributionen: Auch bei anderen Linux-Distributionen wird empfohlen, das Upgrade auf die xz-Versionen 5.6.x nicht vorzunehmen bzw. wieder auf sichere Versionen zurückzugehen.
Warum ist die backdoor in xz für Linux gefährlich?
Als Format für Datenkomprimierung ist xz weit verbreitet und wird in fast jeder Linux-Distribution verwendet. In den betroffenen Versionen ermöglicht der Schadcode den unauthorisierten Zugang zu Systemen über das SSH-Protokoll. Da der SSH-Daemon in den letzten Jahren auf nahezu allen Linux-Servern und systemd-Diensten immer häufiger verwendet wird, könnte eine große Anzahl von Servern im Internet betroffen sein. Nach Schätzungen des Sicherheitsforschers Kevin Beaumont läuft Open SSH heute auf fast 20 Millionen IP-Adressen.
Welche Risiken hat die Hintertür in der xz-Bibliothek für Unternehmen?
Durch die Schwachstelle der xz-Bibliothek ist die Sicherheit und Integrität der betroffenen Systeme gefährdet. Wenn Angreifer über die backdoor unbefugten Zugriff auf Systeme erlangen, können sie diese für bösartige oder gar kriminelle Aktivitäten missbrauchen. Da potenziell viele Server betroffen sein können, wären die Auswirkungen auf die Cybersicherheit Ihres Unternehmens erheblich.
So können sich Unternehmen gegen die Schwachstelle der xz-backdoor absichern
IT-Verantwortliche sollten unverzüglich die Nutzung von Fedora 40 und 41 und Fedora Rawhide stoppen und untersuchen, ob ihre Systeme von den betroffenen xz-Versionen abhängig sind. Es wird empfohlen, auf eine ältere stabile Version von xz, wie z.B. 5.4.6, zurückzugehen. Durch die Umsetzung der Empfehlungen können Unternehmen dazu beitragen, die Sicherheit Ihrer Systeme zu gewährleisten und das Risiko einer Kompromittierung zu minimieren.
Weitere Informationen und Links
- https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-223608-1032.pdf?__blob=publicationFile&v=3
- https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
- https://build.opensuse.org/request/show/1163302
- https://www.heise.de/news/Hintertuer-in-xz-Bibliothek-gefaehrdet-SSH-Verbindungen-9671317.html?wt_mc=rss.red.security.alert-news.atom.beitrag.beitrag
Ansprechpartner für agilimo Consulting GmbH
Thomas Edelmann
+49 6022 651930
info[at]agilimo.de