Pünktlich zu Ostern veröffentlichte der Softwareentwickler Andres Freund etwas, das einem Erdbeben der Stärke 10 in der Security-Szene gleichkommt. Mittels einer Sicherheitslücke in der weit verbreiteten Kompressionsbibliothek war es möglich, über eine OpenSSH-Verbindung alle Systeme mit der verwundbaren Version der xz-Bibliothek zu infiltrieren. Diese Backdoor hat zurecht einen Kritikalitätswert von 10 erhalten. Es ist die höchste überhaupt mögliche Stufe.
Sicherheitstechnisches Erdbeben
Was erst einmal klingt wie eine zwar schlimme, aber nicht so dramatische Lücke, hat in Wirklichkeit katastrophale Auswirkungen. Millionen von Serversystemen weltweit, inklusive derer, die das Rückgrat des Internets bilden, basieren auf einer Variante von Linux und haben auch OpenSSH installiert. Zum Vergleich: OpenSSH ist etwa zehnmal weiterverbreitet als RDP. Und RDP hat schon so manchem Unternehmen das Genick gebrochen, wenn ein unzureichend gesicherter Zugang aufgrund eines Fehlers aus dem Internet erreichbar war. Und OpenSSH ist meist bewusst installiert. Wären diese Systeme angreifbar, hätte das nicht auszudenkende Konsequenzen für die Vertraulichkeit, Verfügbarkeit und Integrität von Daten auf der ganzen Welt.
Wie gesagt: Hätte. Denn wir alle hatten Glück im Unglück. Die verwundbare Version war noch nicht weit verbreitet. Sie hatte bisher „nur“ in einige „Testing“ – und „unstable“ – Versionen verschiedener Linux-Distributionen Einzug gehalten, so auch in den Rolling Release von OpenSuSE und auch in Distros wie Kali Linux und Gentoo. Dort wurden sie auch binnen weniger Stunden entfernt, oder es wurden Empfehlungen herausgegeben, die ein Downgrade auf eine nicht kompromittierte Version empfahlen. Die „Stable“-Branches etwa von Debian oder Ubuntu waren hingegen nicht betroffen.
Alternativen und Freibier
Der Laie würde jetzt fragen „Warum nimmt man dann nicht einfach einen andere Kompressions-Library?“ Die Antwort ist simpel: Die Library ist so weit verbreitet, dass sie praktisch vom System nicht mehr zu trennen ist. Das war auch anderen bereits aufgefallen - systemd hat nach Meinung einiger zu viele Abhängigkeiten, unter anderem diverse Kompressions-Libraries. Dieses Dienst zu verschlanken ergäbe Sinn.
Die vorherrschende Meinung in der Szene ist: „Das hätte sehr ernst werden können“. Um so wichtiger ist es jetzt, die Rolle von quelloffener Software ernst zu nehmen. Vieles, auch kritisches, hängt von der Arbeit von Freiwilligen wie Andres Freund ab. Für die Entwicklung von Software, die weltweit genutzt wird, haben die Entwicklerinnen und Entwickler insgesamt kaum einen Cent gesehen. Vielleicht ist es an der Zeit, dass Unternehmen, die hauptsächlich auf quelloffener Software arbeiten, die Entwicklung aktiv unterstützen.
Sicherheitsforscher Kevin Beaumont merkt in einem Blogartikel an:
„Die Welt schuldet Andres unbegrenzt Freibier. Er hat gerade in seiner Freizeit allen den Arsch gerettet. Kein Witz.“
Unrecht hat er an dieser Stelle nicht.
Vorbereitung für etwas Großes
Was aber wirklich zu allgemeiner Beunruhigung führen sollte: Diese zufällig entdeckte Hintertür war nicht das Ergebnis eines Lapsus bei der Entwicklung. Sie wurde gezielt entwickelt und sollte in allen gängigen Linux-Distributionen platziert werden. Die Weichen hierzu wurden bereits 2022 gestellt. Das Softwareprojekt wanderte vom ursprünglichen Eigentümer in die Hände zweier „aktiverer“ Entwickler, die das Projekt nach eigenen Angaben schneller und weiter voranbringen wollten. Es stellte sich heraus, dass sie psychologischen Druck auf den ursprünglichen Eigner des Projektes ausgeübt hatten, ihm zu viel Inaktivität vorwarfen und darauf drängten, das Projekt in ihre Hände zu geben. In der Folge gab es viel Entwicklungsarbeit, und die Bugfixes wurden in den Kommentarspalten – mutmaßlich von Bots – in den höchsten Tönen gelobt.
Es ist auch die Rede davon, dass die Entwickler bei den Leitungen von Debian oder Fedora vorstellig wurden und auf eine schnelle Integration „ihrer“ Version von xz in die Stable-Branches drängten. Sehr wahrscheinlich wäre die Backdoor nur sehr schwer ausfindig zu machen gewesen, denn sie war gut versteckt. So gut, dass es sicherlich einiges an Aufwand gekostet haben dürfte, der über die Fähigkeiten und Möglichkeiten einer Einzelperson hinausgehen dürfte. So wurden auch Vermutungen laut, dass die Sicherheitslücke von einem staatlichen Akteur vorbereitet und platziert werden sollte.
Mit Blick auf die Anforderungen an die Lieferkettensicherheit lohnt es sich in den kommenden Tagen sicher, die Berichterstattung zu diesem Thema zu verfolgen – denn vieles ist bisher noch ungeklärt und spekulativ. Was allerdings feststeht, ist dass eine umfassende SBOM (Software Bill Of Materials) zumindest Sichtbarkeit für diese Art von Sicherheitsrisiken schafft. Die Linux-Betriebssysteme sind ebenso Teil der Lieferkette eines Unternehmens wie die Unternehmen, die per LKW Güter auf dem Firmengelände anliefern.