Xz Backdoor: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Zeile 35: | Zeile 35: | ||
= Entdeckung = | = Entdeckung = | ||
− | * Ein Microsoft Entwickler entdeckt die Backdoor aufgrund eines komischen CPU-Spikes bei neueren SSH-Server Versionen | + | * Ein Microsoft Entwickler namens [https://www.openwall.com/lists/oss-security/2024/03/29/4 Andres Freund] entdeckt die Backdoor aufgrund eines komischen CPU-Spikes bei neueren SSH-Server Versionen |
− | * Diese plötzliche Beanspruchung an Ressourcen führt zu einer 500ms längeren Login-Dauer, was | + | * Diese plötzliche Beanspruchung an Ressourcen führt zu einer 500ms längeren Login-Dauer, was ihm verdächtig vorkam |
+ | * Er entdeckt die Backdoor im Source Code und macht es öffentlich bekannt | ||
+ | * Security Researcher versuchen die Ausmaße der Backdoor zu verstehen: https://gynvael.coldwind.pl/?lang=en&id=782 | ||
= Links = | = Links = |
Version vom 7. April 2024, 21:25 Uhr
- Ein Backdoor in SSH wurde durch die Bibliotheken liblzma 5.6.0 und 5.6.1 in Debian und Fedora eingebaut
- Es erlaubt dem Inhaber eines speziellen privaten Schlüssels Zugang zu jedem SSH-Server mit root-Rechten
- Dieser Hack erforderte jahrelanges Social Engineering und der Payload wurde sehr ungewöhnlich versteckt
- Die Entdeckung der Backdoor verdanken wir Andres Freund
Timeline
2005 - 2008
- Lasse Collin entwickelt mit Hilfe einiger anderer das .xz-Dateiformat welches den LZMA-Algorithmus für Komprierung verwendet
- Aufgrund der Effizienz der Komprimierung wächst die Verwendung der Software
2021
- JiaT75 (Jia Tan) erstellt seinen GitHub Account
- Dieser Account ist verantwortlich für den Einbau der Backdoor
- Bisher ist unbekannt ob es sich dabei um eine einzelne Person oder einer Gruppe handelt
2022
- Jia Tan erstellt einen harmlosen Patch
- Eine Fake Persona namens Jigar Kumar drängt Lasse Collin diesen Patch aufzunehmen
- Die Idee Jia Tan zum Co-Maintainer zu machen wird Lasse Collin eingepflanzt
2023
- Am 7. Januar 2023 scheint Jia Tan das volle Vertrauen erlangt zu haben, da er Patches in liblzma mergen darf
- Die Testinfrastruktur für den kommenden Backdoor wird in den Source Code mit aufgenommen
2024
- am 9. März 2024 schreibt Jia Tan Code für anscheinend reguläre Softwaretests
- Diese enthalten jedoch tief versteckt ein Backdoor für SSH-Server, welche liblzma als Abhängigkeit haben
Entdeckung
- Ein Microsoft Entwickler namens Andres Freund entdeckt die Backdoor aufgrund eines komischen CPU-Spikes bei neueren SSH-Server Versionen
- Diese plötzliche Beanspruchung an Ressourcen führt zu einer 500ms längeren Login-Dauer, was ihm verdächtig vorkam
- Er entdeckt die Backdoor im Source Code und macht es öffentlich bekannt
- Security Researcher versuchen die Ausmaße der Backdoor zu verstehen: https://gynvael.coldwind.pl/?lang=en&id=782