Keba: KeBob - Ihr smarter Helfer im Foyer
SECURITY22. Oktober 2025

XZ-Utils Backdoor: Schutz vor Supply Chain-Attacken durch Malware

Schwerpunkt: Datenschutz & Datensicherheit
Thomas Boele, Regional Director Sales Engineering CER/DACH bei Check Point Software, präsentiert sich in einem formellen Outfit. Der Fokus liegt auf der Thematik Malware und deren Auswirkungen auf die Finanz-Supply-Chain.
Thomas Boele, Regional Director Sales Engineering CER/DACH, bei Check Point Software Check Point Software

Nach Angaben des ENISA Finance Reports 2025 betrafen Malware-Vorfälle (ohne Ransomware) Organisationen aus dem Finanzsektor (36 %) und weniger Privatpersonen (24 %), allerdings mit einer Tendenz zu mehr Attacken auf Verbraucher. Die ausgewerteten Informationen lassen darauf schließen, dass Banking-Trojaner und Spyware eine erhebliche Bedrohung darstellten, da sie die Übernahme von Geräten und betrügerische Aktivitäten ermöglichten.

von Thomas Boele, Regional Director Sales Engineering CER/DACH, Check Point Software

Ursprung all diesen Übels sind zumeist Schwachstellen, besonders gefährlich aber sind Supply Chain-Attacken.

Zum Sicherheitsrisiko wird eine Sicherheitslücke  dann, wenn sie in Open Source-Software auftritt, die von Cyberkriminellen als Backdoor genutzt wird. Dann wird aus einer Schwachstelle ein Einfallstor für Supply Chain-Attacken.

Ein Beispiel aus der jüngeren Vergangenheit ist XZ Utils (liblzma-Bibliothek), eine Schwachstelle, die mit der Nummer CVE-2024-3094 (10.0 kritisch) gekennzeichnet wurde.

Wäre sie nicht durch Zufall erkannt worden, wären mutmaßlich staatlichen Akteure in der Lage gewesen, weltweit Systeme zu kompromittieren, die SSH einsetzen.”

Ausführung von Code auch aus der Ferne

XZ Utils ist eine Sammlung freier Archivierungsprogramme für Unix-ähnliche Systeme wie Linux Distributionen. Im März 2024 wurde bösartiger Code entdeckt, der in den veröffentlichten Versionen 5.6.0 und 5.6.1 enthalten war. Diese Libraries konnten unter bestimmten Bedingungen eine Umgehung der SSH-Authentifizierung zur Ausführung von Code aus der Ferne ermöglichen.

Der Angreifer hat manipulierte Release-Artefakte/Tarballs ausgeliefert, inklusive einer modifizierten build-to-host.m4 / Build-Routine, die auf bestimmten Systemen ein inaktives Payload extrahiert und in die gebaute liblzma injiziert hat. Die Backdoor nutzte den glibc IFUNC-Mechanismus und ersetzte damit zur Laufzeit eine OpenSSH-Funktion (RSA_public_decrypt) — unter bestimmten Build-/Laufzeit-Kombinationen konnte dadurch sshd kompromittiert werden. Die Payload blieb dabei inaktiv und wurde nur unter sehr spezifischen Build/Laufzeit-Bedingungen aktiv.

Betroffen waren die XZ-Upstream Releases 5.6.0 und 5.6.1 (Tarballs). Distributionen, die diese gebauten Pakete übernahmen, waren gefährdet, viele Distributionen reagierten jedoch schnell durch einen Rollback auf ältere Builds oder auf Rebuilds.

Es wurden nicht alle Systeme tatsächlich kompromittiert, aber das Risiko war der Community hoch genug, um eine CVE-Nummer mit CVSS 10.0 zu vergeben.”

Das waren die Softtmaßnahmen

Als Sofortmaßnahmen unternahmen Security-Administratoren weltweit eine Suche nach den Versionen 5.6.0 oder 5.6.1 in installierten Paketen bzw. in gebauten Images/Container-Layern. Fanden sie dort den Schadcode, setzten sie die Versionen auf eine nicht kompromittierte Version zurück oder spielten Patches und Rebuilds von den jeweiligen Unix-Distributionen ein. Im nächsten Schritt überprüften sie außerdem alte Container und VM-Images, indem sie diese gescannt und wiederhergestellt hatten. Danach folgte eine SSH-Schlüsselüberprüfung. Die SSH-Authentifizierungslogs wurden auf ungewöhnliche Vorgänge überprüft, die SSH-Schlüssel rotiert und die sshd-Binaries ebenfalls auf Manipulationen überprüft.

Autor Thomas Boele, Check Point Software
Ein Mann mit langen, lockigen Haaren und einem freundlichen Ausdruck ist abgebildet. Er trägt einen schwarzen Anzug und ein weißes Hemd. Der Kontext bezieht sich auf Malware und deren Auswirkungen auf die Finanz-Supply-Chain.Thomas Boele ist Tech-Experte und Referent mit mehr als 20 Jahren Erfahrung bei der Ausarbeitung von Go To-Market-Strategien für globale IT-Unternehmen und Startups. Bevor er zu Check Point Software (Webseite) kam, war er für Unternehmen wie Cisco, 3Com, NetApp, Riverbed, HPE SimpliVity, Cohesity und Twilio tätig.

Github pausierte kurzzeitig die Auslieferung der Software, um eine Überprüfung und Behebung der Backdoor innerhalb der XZ-Archivierungsprogramme zu ermöglichen. Die Unix-Distributoren reagieren mit zahlreichen Patches, um die Auswirkungen gering zu halten. Dennoch ist XZ Utils bis heute eine der weit verbreitetsten Backdoors, die gefunden wurden und potentiell die größte Auswirkungen hätten haben können.

Fazit

XZ Utils ist ein Mahnmal für die Einbindung von Open Source-Projekten in kritische Anwendungen vor allem im Finanzsektor hätten die Folgen unüberschaubar sein können. Wichtig ist, dass sich Unternehmen nicht auf die Community verlassen, sondern aktiv engagieren, um eine zweite Backdoor diesen Ausmaßes zu verhindern. Es steht letztlich zu befürchten, dass die gleichen Akteure aus ihren Fehlern lernen und es beim nächsten Mal besser machen und diesmal unentdeckt bleiben.Thomas Boele, Sales, Check Point Software/dk

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/234575

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert