• Ein Backdoor in SSH wurde durch die Bibliotheken liblzma 5.6.0 und 5.6.1 in Debian und Fedora eingebaut
• Es erlaubt dem Inhaber eines speziellen privaten Schlüssels Zugang zu jedem SSH-Server mit root-Rechten
• Dieser Hack erforderte jahrelanges Social Engineering und der Payload wurde sehr ungewöhnlich versteckt
• Die Entdeckung der Backdoor verdanken wir Andres Freund

Timeline

2005 - 2008

• Lasse Collin entwickelt mit Hilfe einiger anderer das .xz-Dateiformat welches den LZMA-Algorithmus für Komprierung verwendet
• Aufgrund der Effizienz der Komprimierung wächst die Verwendung der Software

2021

• JiaT75 (Jia Tan) erstellt seinen GitHub Account
• Dieser Account ist verantwortlich für den Einbau der Backdoor
• Bisher ist unbekannt ob es sich dabei um eine einzelne Person oder einer Gruppe handelt

2022

• Jia Tan erstellt einen harmlosen Patch
• Eine Fake Persona namens Jigar Kumar drängt Lasse Collin diesen Patch aufzunehmen
• Die Idee Jia Tan zum Co-Maintainer zu machen wird Lasse Collin eingepflanzt

2023

• Am 7. Januar 2023 scheint Jia Tan das volle Vertrauen erlangt zu haben, da er Patches in liblzma mergen darf
• Die Testinfrastruktur für den kommenden Backdoor wird in den Source Code mit aufgenommen

2024

• am 9. März 2024 schreibt Jia Tan Code für anscheinend reguläre Softwaretests
• Diese enthalten jedoch tief versteckt ein Backdoor für SSH-Server, welche liblzma als Abhängigkeit haben

Entdeckung

• Ein Microsoft Entwickler entdeckt die Backdoor aufgrund eines komischen CPU-Spikes bei neueren SSH-Server Versionen
• Diese plötzliche Beanspruchung an Ressourcen führt zu einer 500ms längeren Login-Dauer, was ihn

Links

• https://www.openwall.com/lists/oss-security/2024/03/29/4
• https://boehs.org/node/everything-i-know-about-the-xz-backdoor
• https://github.com/amlweems/xzbot
• https://tukaani.org/
• https://gynvael.coldwind.pl/?lang=en&id=782