Open-Source-Supply-Chain-Angriff: Der xz-Backdoor-Vorfall
Im März 2024 wurde eine Hintertür in xz entdeckt, einer weit verbreiteten Komprimierungssoftware. Ein böswilliger Maintainer unter dem Pseudonym Jia Tan hatte diese Hintertür heimlich über drei Jahre hinweg eingefügt. Die Hintertür ermöglichte die Remote-Code-Ausführung auf Maschinen mit installiertem ssh. Ihre Entdeckung war zufällig, durch einen Postgres-Entwickler, der nicht verwandte Leistungsprobleme untersuchte. Dieser Artikel beschreibt die Funktionsweise der Hintertür und schlägt die Verwendung von Build-Reproduzierbarkeit zur Erkennung vor. Die Hintertür beinhaltete die Änderung des xz-Build-Prozesses, um eine schädliche Objektdatei einzuschleusen, und die Nutzung des ifunc-Mechanismus von glibc, um die RSA_public_decrypt-Funktion von ssh zu hooken. Der Autor befürwortet den Build von Software aus vertrauenswürdigen Quellen und die Nutzung von Build-Reproduzierbarkeit zur Verbesserung der Sicherheit der Software-Supply-Chain, wie z. B. den Vergleich von GitHub-Releases mit vom Maintainer bereitgestellten Tarballs und die Überprüfung der binären Konsistenz zwischen Build-Quellen.