Kostenloser Scanner für die XZ-Backdoor von Bitdefender
Ende März wurde eine Schwachstelle in der Datenkompressions-Library “XZ Utils” bekannt. Diese erhielt die Referenznummer “CVE-2024-3094”. Bitdefender hat nun einen kostenlosen Scanner bereit gestellt, mit dem Unternehmen in die Lage versetzt werden, ihre IT-Systeme auf diese Schwachstelle hin zu untersuchen. Das Tool wurde in Go programmiert und unter verschiedenen Bedingungen getestet. Dazu gehören Debian Linux, ein Debian Container und Fedora Linux. Um die Scans wirksam durchführen zu können, sind auf den untersuchten Systemen Root-Privilegien erforderlich.
Das Werkzeug bietet er verschiedene Vorteile:
- Portabilität auf verschiedene Linux-Systeme ohne zusätzliche Software-Installationen
- Verschiedene Scan-Modi: Im vorab eingestellten Fast-Scan-Modus sucht das Tool nach infizierten Systemen und fokussiert sich auf die liblzma-Library, die der jeweilige SSH Daemon (ssshd) nutzt. Im Full Scan identifiziert das Tool alle Libraries in einem System und sucht nach liblzma-Libraries, auch wenn der sshd diese nicht verwendet.
- Verschiedene Erkennungs-Modi: Im Library Version Matching identifiziert das Tool die verwundbaren liblzma-Versionen (5.6.0 und 5.6.1). Im Malware Content Matching sucht der Scanner nach Byte-Sequenzen, die während der Kompilation der Library injiziert wurden.
Generell empfiehlt Bitdefender die Identifikation möglicherweise verwundbarer Systeme im gesamten Netzwerk des Unternehmens mit dem Tool “osquery”. Dieses wird auch durch die Bitdefender GravityZone-Plattform unterstützt, die automatisch verwundbare XZ Utils-Versionen identifiziert.
Weitere Informationen: https://github.com/bitdefender/malware-ioc/releases/tag/v1 und https://www.bitdefender.com/blog/businessinsights/technical-advisory-xz-upstream-supply-chain-attack
