Onderzoekers hebben een opvallende bug gevonden in compressietool xz. Daarmee kon potentieel veel schade worden aangericht in veel Linux-distro's. Het nieuws kwam vlak voor het weekend naar buiten en veel is nog onbekend, maar er begint een beeld te ontstaan van een bewuste achterdeur. Wat weten we nu over de bug in xz?

Wat is xz?

Xz is een compressietool. De software maakt het mogelijk om lossless compressie te doen en komt voornamelijk voor op Linux. De tool is populair: xz, en specifiek het programma xz-utils, wordt standaard meegeleverd in onder andere Ubuntu, Debian, Fedora, Kali Linux en openSUSE, maar praktisch in de meeste Linux-distro's.

De broncode van xz was tot voor kort open source beschikbaar, maar op zondag haalde GitHub de repo offline. Daardoor is het nu lastiger om informatie over de tool online te vinden, al zijn er inmiddels genoeg forks te vinden. Ook hebben de ontwikkelaars zelf nog een mirror online staan.

Gebruikers op een Linux-systeem kunnen via het commando xz --version kijken welke versie zij draaien.

Wat gebeurde er?

Op vrijdagmiddag ging het nieuws rond dat er een bug in xz leek te zitten. Tweakers schreef daar vrijdagavond dit artikel over. Het nieuws kwam naar buiten doordat Andres Freund een bericht stuurde naar de oss-security-mailinglijst. Freund is een PostgreSQL-ontwikkelaar bij Microsoft en was scherp genoeg de bug op te merken. Hij beschrijft hoe hij een opvallende latency van zo'n 500 milliseconden zag toen hij verbinding maakte via sshd. "Ik deed wat microbenchmarks om het systeem te optimaliseren en zag dat sshd-processen een verrassend hoog cpu-verbruik veroorzaakten", schrijft hij.

Kort daarna begonnen de makers van meerdere Linux-distro's met het versturen van waarschuwingen naar gebruikers. Onder andere Debian, openSUSE en Fedora-maker Red Hat waarschuwden voor de bug.

De kwetsbare versie van xz-utils bleek uiteindelijk in slechts een handvol distro's te zitten, omdat de meeste distro's nog geen update voor xz hadden doorgevoerd. De waarschuwingen bleken dus wat prematuur, maar desondanks hebben de distro's maatregelen genomen om xz-utils terug te draaien naar een eerdere versie.

Wie of wat is er allemaal kwetsbaar?

Doordat Freund de kwetsbaarheid al vroeg spotte, is de schade relatief beperkt gebleven. Versies 5.6.0 en 5.6.1 van xz-utils blijken kwetsbaar te zijn, maar die waren nog niet in de upstream van de package gekomen. Daarom waren er nog geen grote Linux-distro's waarbij de kwetsbare versies zijn doorgevoerd in een stabiele release.

Wel zijn enkele vroege releases, zoals publieke bèta's, kwetsbaar. Dat zijn met name Fedora Rawhide en Debian-testing. Ook packagemanager Homebrew voor macOS bevatte de kwetsbare versie 5.6.1 van xz-utils. Inmiddels hebben al die distro's, en Homebrew, xz-utils teruggerold naar versie 5.4.6.

De kwetsbaarheid zit hoe dan ook alleen in de installatiepackage van xz-utils. De Git-repo is niet getroffen.

Xz maakt ook de library liblzma aan. Ook software waar die library in zit, kan dus kwetsbaar zijn.

Wat is de kwetsbaarheid precies en wat kon een eventuele aanvaller daarmee?

Om te beginnen: de volledige omvang van de bug is nog niet helemaal bekend. Onderzoekers zijn momenteel nog te druk om de tool te reverse engineeren, dus waarschijnlijk volgen daar de komende dagen of weken nog meer ontwikkelingen uit.

Wat in ieder geval al wel duidelijk is, is dat de update een installatiescript genaamd build-to-host.m4 draaide. Dat wist zichzelf te plaatsen in functies die door sshd werden gebruikt, een bestand dat op Linux-systemen gebruikt wordt om SSH-verbindingen te leggen. Dat gebeurt via glibc - systemen zijn dus alleen kwetsbaar als ze die library geïnstalleerd hebben, maar dat is vrijwel altijd het geval. De malware gebruikt vervolgens glibc-mechanisme Ifunc om het authenticatieprotocol in OpenSSH te omzeilen.

Sommige onderzoekers zien de bug als een remote code execution-kwetsbaarheid
Er zijn verschillende technische write-ups van de malware die meer de diepte in gaan dan wij hier kunnen doen. Voor een uitgebreide beschrijving kun je de analyse van Filippo Valsorda lezen, die uitlegt waarom hij vindt dat de bug niet alleen een authenticatieomzeiling is maar een remote code execution. Verder heeft Sam James een goede uitleg geschreven waarin ook staat onder welke voorwaarden de malware werkt. Ook heeft securityonderzoeker Gynvael Coldwind een uitgebreide analyse geschreven over hoe een infectie met xz-utils werkt.

Wie zit er achter de malware? En is dit een achterdeur, of gewoon een fout?

In de afgelopen dagen zijn onderzoekers dieper gedoken in misschien niet de belangrijkste, maar wel interessantste vraag rondom de bug: hoe kon dit gebeuren? Inmiddels is duidelijk dat xz-utils dan wel door miljoenen computers mag worden gebruikt, maar slechts door twee personen wordt onderhouden. Het doet daarmee wat denken aan de kwetsbaarheid in Java-library log4j, dat in praktisch alle software zat, maar door slechts een persoon werd onderhouden.

Bij xz-utils lijkt ook weer het door XKCD omschreven probleem om de hoek te kijken, al lijkt de situatie ook wat anders te liggen. In deze uitgebreide analyse van Evan Boehs is de geschiedenis van xz-utils terug te lezen, en dan specifiek van een van de twee maintainers. Xz-utils werd onderhouden door Jia Tan, die zich JiaT75 noemt, en door Lasse Colin, die als Larhzu bekendstaat. Larhzu heeft beheer over de website van xz en schrijft daar kort over de situatie, waarin hij afstand lijkt te nemen van Jia Tan. "Xz-utils 5.6.0 en 5.6.1 bevatte een backdoor. Deze tarballs zijn gemaakt en ondertekend door Jia Tan", schrijft hij. Evan Boehs schrijft dat Jia Tan zijn GitHub-account in 2021 aanmaakte en als eerste commit al een push request deed naar de tool libarchive, wat terug te vinden is in zijn profiel.

Jia Tan werd in juni 2022 een maintainer van xz-utils, samen met Lasse Colin. Zij waren in de afgelopen twee jaar de enige personen die de tool bijhielden. Sindsdien heeft Jia Tan meerdere keren een aanpassing doorgevoerd aan xz-utils waarvan nu blijkt dat ze het systeem mogelijk onveilig hebben gemaakt. Op 23 februari en 9 maart voerde Jia Tan nog twee aanpassingen door die uiteindelijk zouden leiden tot de achterdeur.

Alhoewel, achterdeur? Kunnen we dat wel zo stellig zeggen? Een achterdeur impliceert namelijk een bewuste actie. Het zou in theorie mogelijk kunnen zijn dat iemand commits deed naar xz-utils onder Jia Tans naam. Maar recente acties van de ontwikkelaar maken dat onwaarschijnlijk. Zo zegt een ontwikkelaar van Fedora dat Jia Tan wekenlang in gesprek was met hem en andere Fedora-ontwikkelaars om de tool in het OS te krijgen 'vanwege de prachtige nieuwe features'. Bovendien lijkt het onwaarschijnlijk dat Jia Tan oprecht dacht dat de aanpassingen verbeteringen waren; daarvoor is de malware veel te gedetailleerd. Bovendien deed de malware aan stevige obfuscatie, waardoor iemand, waarschijnlijk Jia Tan, uiteindelijk probeerde de malware stil te houden.

Met welk doel dat gebeurde en of Jia Tan bijvoorbeeld als staatshacker werkte, is nog verre van bekend. Daar wordt veel over gespeculeerd, maar het is nu nog te vroeg er iets over te zeggen. Onderzoekers bestuderen de malware nog; verwacht daar in de komende weken meer informatie over.

GitHub heeft de centrale repo van xz offline gehaald. Volgens het platform overtrad xz de algemene voorwaarden. Eerder deze week bleek er malware te worden verstuurd met de compressietool, waardoor veel Linux-distro's kwetsbaar werden.

De repo, tukaani-project/xz, is niet meer te vinden op GitHub. Het platform zegt dat het de repository zelf heeft uitgeschakeld omdat die GitHubs gebruikersvoorwaarden zou overtreden, al geeft het daar geen details over. GitHub staat malware niet toe.

De compressietool xz kwam vrijdag in het nieuws toen bleek dat die mogelijk malware bevatte. In versies 5.6.0 en 5.6.1 lijkt een backdoor te zitten waarmee het mogelijk is om onder andere ssh-verbindingen over te nemen. Daar is nog veel niet over bekend, maar het heeft er inmiddels alle schijn van dat iemand malware in de repo heeft geplaatst in de hoop die naar meerdere Linux-distro's te verspreiden.

Microsoft heeft meerdere kwetsbaarheden in Edge gerepareerd, waaronder een voor een bug die in het wild werd uitgebuit. Volgens het bedrijf zit die kwetsbaarheid ook in alle Chromium-browsers. Google bracht daar vorige week al een update voor uit, maar noemde het geen zeroday.

Microsoft beschrijft in een advisory een bug die wordt getrackt als CVE-2024-2883. Dat is een use-after-free in Angle, de WebGL-component in Chromium. Daarmee zijn niet alleen Chrome, maar ook afgeleiden zoals Edge kwetsbaar voor de bug. De bug krijgt een Kritiek-rating mee. Met de bug kan een aanvaller op afstand een heap corruption triggeren via een html-phishingpagina. Microsoft heeft die bug inmiddels gerepareerd in Edge.

De bug wordt volgens Microsoft actief misbruikt. Zoals gebruikelijk geeft het bedrijf daar geen details over, dus is niet bekend door wie dat gebeurt en hoe vaak. Extra opvallend is dat Microsoft zegt dat Google op de hoogte is dat de exploit in het wild wordt misbruikt. Google repareerde de bug vorige week in versie 123.0.6312.86 en /.87 in de Stable Channel en noemde daarbij specifiek deze kwetsbaarheid, maar het bedrijf zei daarbij niet dat het bekend was met actief misbruik. Meestal doet Google dat wel, al geeft ook dat bedrijf daar doorgaans geen details over.

EA voegt zijn anticheatsysteem in april toe aan Battlefield V. Die game uit 2018 heeft al sinds 2020 geen grote update meer gekregen, maar krijgt nu toch het controversiële systeem, dat op kernelniveau werkt. Daarmee zal de game niet langer werken op Linux.

EA zegt dat het zijn eigen systeem, dat simpelweg EA Anticheat heet, toevoegt aan Battlefield V. Dat gebeurt 'in april'. Op X zegt het bedrijf dat specifiek op 3 april de knop omgaat. EA voegde Anticheat vorig jaar in oktober al toe aan Battlefield 2042, een game uit 2021.

De stap is opvallend, omdat Battlefield V al sinds de zomer van 2020 geen updates meer heeft ontvangen. De zomerupdate was de laatste grote update van het spel, tot nu toe. Met de update verandert er volgens EA voor spelers niets en zouden de prestaties van Battlefield V er niet onder moeten lijden. Battlefield V heeft sinds een paar jaar veel last van valsspelers, waar spelers zich regelmatig over beklagen. Linux-spelers hebben overigens wel een probleem; Anticheat werkt niet op dat besturingssysteem, dus zullen zij de game niet langer op dat platform kunnen spelen.

Anticheatsystemen werken vaak op kernelniveau en zijn daarom controversieel onder gamers. Ze krijgen daarmee namelijk veel rechten op het systeem van spelers. Tweakers schreef daar eerder deze week nog een achtergrondartikel over.

Het Chinese bedrijf Orange Pi heeft een nieuwe singleboardcomputer getoond. De Orange Pi 5 Pro heeft niet alleen een snellere soc, maar ook een een neural processing unit waarmee het apparaat AI-toepassingen zoals beeldherkenning zou moeten kunnen draaien, zegt het bedrijf.

De Orange Pi 5 Pro is de nieuwste singleboardcomputer van het Chinese bedrijf met een vergelijkbare formfactor als de Raspberry Pi. De 5 Pro is vooral een upgrade ten opzichte van eerdere modellen door de gebruikte chips. De soc is een Rockchip RK3588S met vier Cortex A76- en vier Cortex A55-cores. Daar zit ook een Mali G610-gpu in, maar ook een npu die de singleboard volgens het bedrijf geschikt maakt om kleine AI-toepassingen te draaien. Dat kan met maximaal zes TOP's.

Het apparaat kan worden gekozen met 4GB, 8GB of 16GB aan Lpddr5-ram. De singleboard heeft een microSD-slot, maar kan worden uitgebreid met NVMe- of SATA-ssd's via een M.2-slot. Verder zitten er twee HDMI-poorten op de computer, waarvan eentje voor 2.1 en een andere voor HDMI 2.0. Daarmee kan de 5 Pro volgens Orange Pi 8k-beelden tonen met een stabiele 60fps. Er zit verder een gigabitethernetpoort op het apparaat met Power over Ethernet-mogelijkheden. Net als op de Raspberry Pi zitten er twee USB 2.0- en twee USB 3.1-poorten op het computertje.

De Orange Pi 5 Pro meet 89x56x1,6mm. Het apparaat kan naast Orange Pi's eigen OrangePi OS ook overweg met Ubuntu, Debian en Android 12. Wanneer het model uitkomt en wat het dan kost, is nog niet bekend.