Linux über große Hintertür gehackt? Alles was du zum XZ Backdoor wissen solltest

[DMW007]

Nicht nur gelesen, das habe ich auch im Video gesagt. Produktiv hat es keine klassische GNU/Linux-Distribution getroffen. Ausschließlich die Rolling Release Distributionen, wobei aber selbst da nicht alle betroffen sind. Bei Arch Linux beispielsweise wird der Exploit gar nicht ausgeführt, weil die OpenSSH nicht mit Systemd patchen. Also ist der Schadcode dort praktisch gar nicht ausführbar/nutzbar. Mag bei manchen wie Suse Tumbleweed anders aussehen, die stehen im Ökosystem aber weiter hinten, was die Nutzerzahlen angehen. Außerdem ist Rolling Releases eher auf Desktops im Einsatz. Dass dort ein SSH-Server direkt am Internet hängt, ist sehr selten. Hier sind also auch einige dabei, die zwar in der Theorie betroffen wären. Bei denen allerdings der Exploit gar nicht praktisch ausgenutzt werden kann, weil man dafür übers Internet an den SSH-Server kommen muss. Ist der nur im internen Netz erreichbar oder durch ein VPN geschützt, kann der Angreifer gar keinen Schadcode ausführen.

So gibt es noch ein paar andere Szenarien, bei denen es ähnlich ist: Zum Beispiel in (Docker) Containern. Da hat der eine oder andere eine verwundbare Version, weil man vllt wegen bestimmter Pakete auf das instabile Debian setzt. Praktisch kommt keiner ran, weil in keinem vernünftig konfigurierten Container ein SSH-Daemon laufen sollte. Aus diesen Gründen auch das Fragezeichen im Titel und am Schluss meine Einschätzung, dass der Angriff zwar ausgeklügelt ist und daher technisch beachtlich. Aber durch die recht frühe Entdeckung konnte das Meiste verhindert werden. Es ist daher weit von Dimensionen früherer Hintertüren wie z.B. EternalBlue in Windows entfernt. Auch wenn es bei oberflächlicher Betrachtung anders wirkt, weil es SSH betrifft und durch Systemd einige Distributionen. Im Detail sieht es dann aber halt schon wie gesagt deutlich anders aus.

[U-Labs YouTube]

Kommentar von @MaxiKing913:
btw: ich nutze arch

[DMW007]

Und hast wohl schon immer gewusst, dass Systemd patchen keine gute Idee ist oder hast dir dein Arch gleich ganz ohne mit einem anderen Init-System gebaut. Hier darfst du dir auf die Schulter klopfen: Du hattest recht und bist als Belohnung nicht betroffen, auch nicht in der Theorie

[U-Labs YouTube]

Kommentar von @Kaiserzeit1871:
Danke für das Video, allerdings war das viel Fachchinesisch für Linux Nutzer die nicht so in der Materie sind. Ich nutze z.B. MX Linux, das wäre doppelt betroffen. Es basiert auf Debian und kommt aus den USA. Ich habe aber nicht mitbekommen ob das betroffen ist oder nicht. MX ist schließlich die Nr. 1 in den Downloadcharts auf Distrowatch.

Antwort von @btsr2553:
Im Terminal einmal den Befehl: xz -V absetzen. Alternative bei Debian basierenden Sytemen sollte auch ein dpkg-query -l | grep xz funktionieren.
Steht da nun was von 5.6.0 bzw. 5.6.1 dann ist man gefährdet.
Bei 7:10 steht in dem Video steht ein weiterer Befehl: ldd "$(command -v sshd)" | grep liblzma
Die Bedingungen für einen Angriff werden im Video ab 8:12 erklärt!

Antwort von @Kaiserzeit1871:
@btsr2553 OK. Mein MX hat xz 5.4.1-0.2

Antwort von @alterhund4116:
Mein letztes MX Linux, bevor ich zu DEB gewechselt habe, startete normal ohne SystemD.
Also hast Du wohl alles richtig gemacht, mit der Distro-Wahl. Diverse Programme brauchten SystemD um zu starten. Das hat man allerdings zum grösssten Teil gepacht, so dass diese starten.

Antwort von @Kaiserzeit1871:
@alterhund4116 Ja, MX ist nicht schlecht. Das hat zwar auch so seine Schwächen, speziell wenn man viel scannen muss, aber sonst geht es. Als Zweitsystem versuche ich mich gerade an der russischen ROSA Distribution. Die gefällt mir im Moment sehr gut, weil die wirklich unglaublich viele Einstellmöglichkeiten bietet. Mal sehen wie die sich so macht.

Antwort von @alterhund4116:
@Kaiserzeit1871
Hi Kaiser, der init Prozess mit, ich denke System V, ist vernünftiger, als dieses SystemD Monster. Meine Entscheidung 2023 zu Debian war einfach die Stabilität. Zum normal arbeiten, langt Debian immer. Ich habe dann, da MX ja auf Deb beruht, so das eine oder andere DEB Paket genutzt und mir das System versaut. Außerdem hatte ich immer Mal wieder zwischen KDE und XFCE hin und her gewechselt. Gabe Probleme. Die hatte ich bis jetzt mit Deb nicht.
Wobei mit dem neuen PC benutze nur noch KDE.
Evtl. werde zu MX zurück wechseln. Bis jetzt, noch kein crash gehabt. Russland, erinnert mich immer an Tetris. Die haben sehr gute Cracks. Auch wenn es um Android und Hacking ging. ��
Heute, als Rentner, lasse ich diese Dinge. Habe gerade HyperOS bekommen. Muss sagen, eine geniale Speicher Verwaltung. Meist 4 GB von den 8 frei. Merkt man deutlich, was da geht. Grüße

[DMW007]

@btsr2553 Danke, der Abschnitt war für diese Frage gedacht gewesen. Der Beitrag soll eine Zusammenfassung der wichtigsten Infos und Erkenntnisse sein. Dazu gehört neben pragmatischen Möglichkeiten wie dem Erkennen von bekannten Anzeichen, dass man betroffen ist (oder nicht betroffen ist) auch die Theorie dahinter. Mein Anspruch ist, dass man zumindest grundlegend versteht, was man macht bzw. was passiert ist.

[U-Labs YouTube]

Kommentar von @btsr2553:
Vielen Dank für die ausführliche Erklärung. Wieder ein paar Puzzleteile für mich. Da habe ich wahrscheinlich nochmal gehabt. Ich benutze einen Raspi mit Kali Linux und hatte die Version 5.6.0 installiert gehabt. Gut das Teil hängt nicht im Internet etc. Grüße an den fleißigen Aufklärer.

[DMW007]

Gerne! Auch danke für deine Rückmeldung.
Ja, mit ARM wärst du nicht betroffen, weil der Schadcode die Prozessor-Architektur prüft und nur auf 64-Bit X86-Systemen aktiv wird. Wenn der SSH-Server nicht direkt per Internet erreichbar ist, dann sowieso doppelt nicht. Das wäre notwendig, damit der Angreifer Schadcode ausführen könnte.

[U-Labs YouTube]

Kommentar von @gm3794:
Danke für die ausführliche erklärung

Kommentar von @DigitalImp777:
Vielen Dank für die klare Analyse und Erläuterung der Zusammenhänge.

[U-Labs YouTube]

Kommentar von @chrisdanger-godlike3048:
das dachte ich mir damals schon bei Siemens/Fujitsu Computern. Warum? Siemens war im 2.WK Weltmarktführer für Spionagehardware!
Und USA hat gewonnen und alle Patente geraubt, also dieses aber auch noch 350.000 weitere Patente etc. wie sogar auch Wissenschaftlicher #OperationPaperclip
Und man kennt ja das Verhalten der USA, Dresden´45, Hiroshima, Vietnam,Afghanistan, Besatzungskonstrukt #BRD.... #Vertrauenswürdigkeit
So sehe auch Firefox, Tor, Cisco ... #NSA oder auch Programme wie Prism (USA) oder Pegasus (1zr4H3LL), .... also nix nur kriminelle Leute, die Kopien verteilen, Drogen verkaufen..., sondern auch diese Regierungsinstitute die uns eigentlich "schützen" sollten! \o/

[Darkfield]

Das machen die doch auch,alles um DICH zu schützen!
(Wer Ironie und Sarkasmus findet, der darf die beahlten)