backdoor attack Linux?
Was war da los? Ich habe es nicht mitbekommen. Habe nur in Facebook etwas dazu gelesen von einer "backdoor attack Linux" ?
Kann es mir vielleicht jemand erklären?
Braucht man jetzt einen AntiVirus oder wie???
5 Antworten
Da hat Jemand einen bestimmten Teil von Linux entwickelt eine "Hintertür" heimlich eingebaut.
Das hat der so gemacht, dass das von anderen die den Quellcode lesen gar nicht auffallen kann. Die Hintertür ist nicht im Quellcode enthalten. Der hat die Art wie der Quellcode zu einem "Binary", also der Maschinensprache übersetzt wird so manipuliert, dass da ein keines Programmschnipselchen mit eingebaut wird.
Das ist also keine Unsicherheit von "Open Source" an sich. Das können genau so gut auch Mitarbeiter bei Microsoft oder Apple machen. Und da ist das dann noch schwieriger so etwas zu erkennen.
Betroffen ist der "SSH DIenst". Das ist eine "Fernkonsole". Man kann also über Internet oder lokal im gleichen Netzwerk eine Konsole auf einen anderen PC übertragen.
Es ist etwas komplizierter, aber vereinfacht kann man sagen, dass der, der das da eingebaut hat ein Passwort hat, mit dem er Adminrechte (Root rechte) bekommt. Dieses Passwort kennt nur der, der das da eingebaut hat und nur diejenigen an die er das weiter gegeben hat. Wegen der Art wie SSH verschlüsselt, kann man auch jetzt wo die Hintertür gefunden wurde dieses Passwort nicht ausrechnen. Das bedeutet, dass es nur einen oder nur wenige Menschen gibt die diese Hintertür benutzen können.
Bei Privatnutzern ist dieser Dienst als Standard nicht eingeschaltet. Als zweites muss der Router SSH an den Computer weiter leiten sonst ist dieser Dienst vom Internet aus nicht erreichbar, auch wenn der eingeschaltet wäre. Fast alle Privatleute sind also sicher, auch wenn Jemand der das "geheime Hintertür Passwort" hat die IP kennen würde.
Bei Servern sieht das anders aus, deren IPs sind bekannt und die müssen per SSH durch das Internet zu Wartungszwecken erreichbar sein.
Außerdem sind nur die allerneusten Versionen betroffen. Die meisten Distris hinken immer hinterher damit alles gründlich getestet werden kann bevor man eine neue Version bekommt. Das bedeutet, dass nur wenige Computer davon überhaupt betroffen sind - und die müssen per SSH aus dem Internet erreichbar sein. Und auf die wiederum kann höchstens eine Handvoll Menschen die das Passwort kennen zugreifen.
Also nein, Du brauchst keine Anti-Virus Software. Wenn Du kein SSH eingeschaltet hast und den Router nicht konfiguriert hast SSH an Deine Maschine weiter zu leiten kann Dir nichts passieren, selbst wenn Du die allerneusten "Top Notch" Versionen installiert hast.
Die "Gefahr", dass Du 10× hintereinander 6-Richtige im Lotto hast obwohl Du kein Lotto spielst ist viel höher!
Hier ist ein sehr gutes Video von "Dave's Garage". Der war früher Programmierer bei Microsoft.
So weit ich das verstehe:
Ein vermutlich staatlicher Akteur hat ausgenutzt, dass XZ (ein Programm zum komprimieren von Daten - sowas wie Zip) nur von einer einzelnen Person in seiner Freizeit entwickelt, aber trotzdem sehr oft verwendet wird.
Dadurch konnte der Angreifer Druck auf den Entwickler ausüben, ihm selbst mehr Kontrolle zu geben. Diese Kontrolle hat er genutzt, um eine manipulierte Version von XZ zu veröffentlichen.
Diese Version ist so manipuliert, dass sie, wenn sie von SSH (einem Programm zum Fernzugriff auf andere Computer - sowas wie RDP, VNC oder TeamViewer) verwendet wird, dieses so verändert, dass der Angreifer (und nur er) Zugriff auf den Server bekommt.
Das ist aber aufgefallen, bevor stabile Linux-Versionen (das sind die Versionen, die auf Servern verwendet werden) davon betroffen waren. Effektiv ist also nichts passiert - außer, dass man daraus lernen sollte, wie man solche Angriffe in Zukunft verhindert.
Nochmal die Kernpunkte, warum der Angriff etwas Besonderes ist:
- Der Angriff ist sehr kompliziert, und hat viel Zeit (mindestens zwei Jahre) in Anspruch genommen. Daher handelt es sich wahrscheinlich um einen staatlichen Akteur (wahrscheinlich ein Geheimdienst wie CIA)
- Die Hintertür in XZ wird nur aktiv, wenn XZ von SSH geladen wird. Für alle anderen Zwecke tut XZ genau das, was es soll.
- SSH wurde manipuliert, ohne dass es verändert wurde. Die Lücke ist nicht im Source-Code von SSH vorhanden, und auch nicht in der compilierten Version von SSH. Sie tritt nur dann auf, wenn SSH XZ nachlädt.
Ein Programierer hat sich einen guten Ruf erarbeitet und dann in den Unterbau einer sehr oft benutzen Fernsteuersoftware einen Schlüssel eingebaut. Dazu hat er nicht den Code manipuliert sondern eine Zwischendatei die beim Übersetzungsvorgang verwendet wird, daher war diese Manipulation schwer zu finden.
Die Manipulierte Software ist aber sehr schnell entdeckt worden und hat es nur in sehr wenige Systeme die extrem aktuell gehalten werden geschafft. Die meisten anderen System benutzen ältere, nicht manipulierte Versionen dieser Software.
Die Lücke befindet sich in den xz-Tools der Version 5.6x. Wenn diese nicht installiert sind bist du nicht betroffen. Die Gegegmaßnahme ist die Installation einer älteren Version und Neustart des SSH-Servers.
Siehe auch die Meldung des BSI: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-223608-1032.pdf?__blob=publicationFile&v=3
Nein.
Es gibt unzählig viele verschiedene Linux-Distributionen.
Nur weil es für mache irgendwelche Programmierfehler gibt, die ausgenutzt werden können, bedeutet das noch lange nicht dass jetzt jede Linux-Konfiguration in Gefahr ist.
Wenn du auf z.b. ubuntu bist wirst du nicht so schnell betroffen. Bei mir ist xz immer noch auf 5.2 also 4 Versionen hinterher. Also brauch man keinen Antivirus wenn man nicht immrt die neusten sachen hat
Brauche ich xz denn wirklich.
Kann ich das nicht einfach deinstallieren?
Bin auf Mint, gibt es da xz?
Wird die libzma nicht von apt bzw dpkg verwendet und ist damit ein Requirement?
Und bspw. von systemd/libsystemd und so weiter. Also ohne xz kann man schon eine Distribution bauen, aber man macht es sich schwer damit.
Es lässt sich zusammenfassen: großer Aufreger, aber letztendlich aufgrund des Open Source Konzepts und einem findigen Menschen nichts passiert.
Du brauchst das nicht deinstallieren. Bei Mint gab es nie eine Version, die angreifbar war. Davon abgesehen, wärest du auch nur dann angreifbar gewesen, wenn du einen SSH-Server aktiv gehabt hättest, UND dieser SSH-Server aus dem Internet erreichbar gewesen wäre, UND der Angreifer dich hätte angreifen wollen.
Ich habe einen SSH-Server laufen, der aus dem Internet erreichbar ist.
Habe denn aber abgeschaltet zur Sicherheit.
Kann ich denn wieder aktivieren?
Es ist noch immer nicht 100%ig klar, was genau die Backdoor macht. Also es gibt noch ein gewisses Restrisiko, aber wahrscheinlich kannst du den SSH-Server wieder aktivieren.
Es war so ziemlich jede Linux Distro faktisch betroffen.
Der Grund warum der Exploit zB bei Debian nicht aufgetaucht war, weil er noch im Experimental Branch war als das Backdoor entdeckt wurde, ein paar Tage später wäre er im Stable Branch und damit in Debian und allen Debian basierten Distros gewesen.