Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt die IT-Verantwortlichen vor einer großen Sicherheitslücke, nachdem bekannt wurde, dass unzählige Internet-Server durch Cyberangriffe attackiert werden sollten. In einer offiziellen Sicherheitswarnung spricht das BSI von einer „kritischen Hintertür“, die beim Betriebssystem Linux geschlossen werden muss.
Die eingeschleuste Sicherheitslücke ist vor Ostern von dem deutschen Software-Ingenieur Andres Freund entdeckt worden. Er arbeitet in den USA für Microsoft. Dem 38-Jährigen war aufgefallen, dass eine sogenannte Remote-Anmeldung bei einem Linux-Computer plötzlich mehr Rechenleistung benötigte und eine unerklärliche Verzögerung von 500 Millisekunden auftrat. Er entdeckte die Manipulation nach einer aufwendigen Suche in dem Softwaretool „XZ Utils“, einem von vielen Linux-Varianten genutzten Open-Source-Projekt zur Daten-Kompression, was seit vielen Jahren von einer einzigen Person als Hobby betreut wurde.
Der renommierte Sicherheitsexperte Alex Stamos, der mal Sicherheitschef bei Facebook war, sagte, dass dies „die weitesten verbreitete und effektivste Hintertür“ hätte sein können, „die jemals in ein Softwareprodukt eingebaut wurde“. Wäre dies unentdeckt geblieben, hätten die Hacker „ihren Schöpfern einen Hauptschlüssel zu jedem der Hunderte von Millionen von Computern auf der ganzen Welt gegeben, die mit SSH arbeiten“, sagte Stamos der „New York Times“. Damit hätten sie demzufolge wohl private Informationen stehlen können, Malware einschleusen können oder große Störungen in der Infrastruktur verursachen können.
Das BIS forderte jetzt die Systemadministratoren auf, zu überprüfen, ob auf ihren Linux-Systemen eine manipulierte Version von „XZ Utils“ installiert ist. Die Sicherheitswarnung bezieht sich genau auf die Versionen 5.6.0 und 5.6.1 des Tools. Man stuft die Bedrohungslage als „geschäftskritisch“ ein und spricht von einer „massiven Beeinträchtigung des Regelbetriebs“.
Quelle: ZD