Die Bitdefender Labs haben einen freien Scanner zur Verfügung gestellt, mit dem Unternehmen ihre IT-Systeme auf die am 29. März 2024 bekannt gewordene Schwachstelle CVE-2024-3094 in der weit verbreiteten Library für Datenkompression XZ-Utils untersuchen können.
Der kostenfreie Bitdefender-XZ-Backdoor-Scanner sucht gezielt nach dieser Schwachstelle. In Go programmiert und zunächst auf Fedora, Debian und einem Debian-Container getestet, bietet er verschiedene Vorteile:
- Portabilität auf verschiedene Linux-Systeme ohne zusätzliche Software-Installationen.
- Verschiedene Scan-Modi: Im vorab eingestellten Fast-Scan-Modus sucht das Tool nach infizierten Systemen und fokussiert sich auf die liblzma-Library, die der jeweilige SSH-Daemon (ssshd) nutzt. Im Full-Scan identifiziert das Tool alle Libraries in einem System und sucht nach liblzma-Libraries, auch wenn der sshd diese nicht verwendet.
- Verschiedene Erkennungs-Modi: Im Library-Version-Matching identifiziert das Tool die verwundbaren liblzma-Versionen (5.6.0 und 5.6.1). Im Malware Content Matching sucht der Scanner nach Byte-Sequenzen, die während der Kompilation der Library injiziert wurden.
Für ein wirksames Scanning benötigen die Anwender Root-Privilegien.
Generell empfiehlt Bitdefender die Identifikation möglicherweise verwundbarer Systeme im gesamten Netzwerk des Unternehmens mit dem Tool osquery. Dieses wird auch durch die Bitdefender Gravityzone-Plattform unterstützt, die automatisch verwundbare XZ-Utils-Versionen identifiziert.
Info: Erhältlich ist der Scan hier: https://github.com/bitdefender/malware-ioc/releases/tag/v1.
Für Rückfragen stehen die Experten unter techzone@bitdefender.com bereit.
Eine detaillierte Analyse der Schwachstelle unter: https://www.bitdefender.com/blog/businessinsights/technical-advisory-xz-upstream-supply-chain-attack/.
#Bitdefender
