Das war denkbar knapp: Eine plötzlich auftretende, unerklärliche Verzögerung von einer halben Sekunde beim SSH-Verbindungsaufbau und ein neugieriger Entwickler namens Andres Freund haben einen von langer Hand geplanten, massiven Supply-Chain-Angriff auf das Linux-Ökosystem vereitelt – kurz bevor sich dieser zu einem Desaster entwickeln konnte.

Es ist Karfreitag, viele freuen sich auf entspannte Ostertage. Dann folgt der Paukenschlag: Das in Linux-Distributionen gängige Komprimierungswerkzeug XZ Utils enthält in den Versionen 5.6.0 und 5.6.1 eine raffinierte Backdoor. Diese erlaubt es Angreifern, von außen unbemerkt SSH-Sitzungen zu den betroffenen Rechnern aufzubauen. Schlagartig wackelt die Sicherheit zahlloser Linux-Rechner und -Server, denn bei den XZ Utils handelt es sich keineswegs um irgendeine obskure Software, die in einem seit Jahren nicht mehr gepflegten Repository schlummert. Der CVSS-Score erreicht eine glatte 10.

Die Raffinesse, mit der die Hintertür in das Projekt eingeschleust wurde, spricht für sich: Zwei Jahre Vorarbeit, in denen ein Entwickler unter dem Pseudonym Jia Tan nach und nach die Kontrolle über das Projekt vom bisherigen Hauptentwickler Lasse Collin übernahm, indem er sich als Helfer andiente. Eine extrem gut versteckte Backdoor. Fake-Accounts, die Linux-Distributoren die manipulierte Softwareversion schmackhaft machten. Betroffen waren am Ende zum Glück nur wenige Releases von Fedora, Arch Linux, openSUSE, Vorabversionen von Debian und das bei Security-Forschern beliebte Kali Linux. Andere Distributionen hatten die infizierte Fassung der XZ Utils (noch) nicht übernommen.