Aufgrund bösartiger Updates, die an xz Utils vorgenommen wurden, stand die Welt kurz davor, von einem kürzlich aufgedeckten Backdoor-Vorfall infiziert zu werden. Die Auswirkungen hätten eine ähnliche Verwüstung anrichten können wie der SolarWinds-Angriff im Jahr 2020, der es russischen Hackern ermöglichte, in die Kerne vieler US-Regierungsbehörden einzudringen.
Der Angriff war „erschreckend nahe“ am Erfolg und wurde vom Software- und Kryptografie-Ingenieur Filippo Valsorda als der vielleicht „am besten ausgeführte Supply-Chain-Angriff“ bezeichnet, der bis dahin beobachtet worden sei, berichtet Ars Technica.
Ein Großteil des Crowdsourcing-Codes des Internets ist anfällig für die Infiltration durch böswillige Akteure und Nationalstaaten. Open-Source-Software ist das „Herz des Internets“, sie wird größtenteils von einer Handvoll Freiwilliger gepflegt und stellt daher ein großes Sicherheitsrisiko für Unternehmen und Regierungen dar, berichtete The Economist . Open-Source-Software wird aufgrund ihrer geringen Kosten häufig in der digitalen Infrastruktur eingesetzt. Diese Infrastruktur, die in der gesamten digitalen Welt eingebettet ist, wird von verschiedenen feindlichen Nationalstaaten angegriffen.
Am 29. März 2024 entdeckte Andres Freund, ein Softwareentwickler bei Microsoft , eine „Hintertür, die in einer Software versteckt war, die Teil des Linux-Betriebssystems ist“. Diese Hintertür stammte aus dem Quellcode von xz Utils, der manipuliert wurde und unbefugten Zugriff auf Systeme ermöglichte, die die betroffenen Versionen verwendeten. Der kompromittierte Quellcode stammte vom Open-Source-Datenkomprimierungsprogramm xz Utils in Linux-Systemen. Die New York Times schrieb, der Ingenieur habe einen „potenziell historischen Cyberangriff“ verhindert.
Da es sich bei xz Utils um Open-Source-Software handelt, kann jeder den Code sehen, da er öffentlich ist und welche Änderungen vorgenommen wurden.
Ein Entwickler namens Jia Tan begann, hilfreiche Codebeiträge zum Projekt zu leisten und sich langsam Vertrauen zu verdienen. Dann schmuggelte der Bösewicht im Laufe der Zeit Malware ein. Der russische Auslandsgeheimdienst SVR, der vermutlich hinter den Angriffen steckt, ist derselbe Geheimdienst, der auch hinter dem SolarWinds-Angriff steckt.
Die Open Source Security Foundation (OSSF) warnte , dass der Angriff auf xz Utils wahrscheinlich kein Einzelfall sei. Kriminelle wurden dabei erwischt, wie sie ähnliche Social-Engineering-Taktiken anwandten, um zu versuchen, andere Projekte wie die OpenJS Foundation für JavaScript-Projekte zu übernehmen.
Im Gespräch mit Frontsight Media erläuterte Ryan Ware, ein Experte für Open-Source-Software, das Ausmaß der damit verbundenen Risiken:
„Unsere digitale Infrastruktur ist sehr anfällig“, so Ware. „Bis heute wurden 177.914 CVEs veröffentlicht. Nehmen wir der Argumentation halber an, dass es 1 Milliarde Zeilen Code in Open Source gibt (es ist viel mehr, aber das Thema verschieben wir auf einen anderen Tag). Nehmen wir der Argumentation halber auch an, dass die Hälfte dieser CVEs Open Source sind (90.000, um eine schöne runde Zahl zu nennen). Das bedeutet, dass wir für Open-Source-Code nur eine Schwachstelle pro 11.111 Zeilen Code gefunden haben“, sagte er.
„Unternehmen würden alles dafür tun, um einen so sauberen Code zu haben, dass nur eine Schwachstelle pro 11.000 Zeilen Code gefunden wird“, erklärte Ware. „Außerdem ist die Menge an Open-Source-Software, die derzeit geschrieben wird, zwar etwas zurückgegangen, aber die Menge an geschriebenem Code ist immer noch so hoch wie nie zuvor“, erklärte Ware. Er beschrieb ein Szenario, in dem für jede gefundene Schwachstelle noch 5 bis 10 weitere Schwachstellen gefunden werden müssen, bevor der Code einwandfrei ist.
Das Ausmaß des Beinahe-Unfalls von XZ Utils ist eine deutliche Erinnerung an die Fragilität von Crowdsourcing-Software und die dringende Notwendigkeit ausfallsicherer Installationen, wie Ware weiter erklärt:
„Wir wissen mit Sicherheit, dass Nationalstaaten versuchen, die Sicherheit von Software zu untergraben. Man muss sich nur die Liste der APTs ansehen, die es gibt“, sagte Ware und erklärte weiter, dass „sich diese Bedrohungsakteure in der Vergangenheit darauf konzentriert haben, Zero-Day-Schwachstellen zu nutzen, um ihre Ziele zu erreichen.“ Er merkte jedoch auch an, dass „diese Bedrohungsakteure operativ nicht einfach eine Zero-Day-Schwachstelle finden und diese dann sofort ausnutzen. Sie horten Zero-Day-Schwachstellen (die sie durch ihre eigene Recherche entdeckt oder gekauft haben) und nutzen sie dann, wenn sie eine brauchen, die ihre operativen Ziele erfüllt.“
In der Zwischenzeit wies Ware auf die lange Zeitspanne zwischen dem Auftreten einer Schwachstelle und der Zeit hin, die Softwareentwickler brauchen, um ihre Systeme zu patchen. Bedrohungsakteure können Schwachstellen lange Zeit horten, da diese Verzögerung bei der Behebung anhält.
Was im Laufe der Zeit nicht deutlich wurde, ist, wie staatliche Akteure Software manipuliert haben. „Der ganze Vorfall mit xz hat einen kleinen Einblick in einige dieser Dinge gegeben und gezeigt, welche Ressourcen diese Nationalstaaten einsetzen können“, sagte Ware. Der xz-Vorfall ist jedoch nicht der einzige Beweis dafür, dass etwas von dieser Art von Social-Engineering-Technik ausprobiert wurde. „Ehrlich gesagt mache ich mir Sorgen darüber, was Nationalstaaten sowohl im Bereich der Open-Source-Software als auch der kommerziellen Software getan haben, von dem wir derzeit nichts wissen“, betonte Ryan.
Auf die Frage, ob der SolarWinds-Vorfall in jüngster Zeit aus der Erinnerung verschwunden sei, antwortet Ware:
„Ich glaube nicht, dass die Lehren aus SolarWinds bei den Regierungsvertretern verschwunden sind. Ein Großteil der Arbeit rund um die Sicherheit der Software-Lieferkette in OpenSSF (wie SLSA und GUAC) wird geleistet, weil CISA Lösungen in diesem Bereich sehen möchte“, sagte er.
„Ich denke, es ist definitiv aus dem öffentlichen Bewusstsein verschwunden, aber gleichzeitig weiß ich nicht, wie sehr es in das öffentliche Bewusstsein eingedrungen ist“, fügte Ware hinzu und verwies auf eine Perspektive mit Auswirkungen auf den durchschnittlichen Hobby-Softwareentwickler, der oft Teil des „öffentlichen Bewusstseins“ ist.