Seit einem Jahr lässt sich eine Zunahme von Supply-Chain-Attacken auf Open-Source-Software (OSS) beobachten. Nun sind erneut zwei unterschiedliche Hintertüren entdeckt worden. Diese wurden in rund ein Dutzend Bibliotheken eingebaut, die von hunderttausenden Usern heruntergeladen wurden, wie 'Ars Technica' berichtet.

Der erste Angriff betraf Webmin, ein webbasiertes Verwaltungstool mit mehr als einer Million Installationen. Laut Webmin-Developer Jamie Cameron habe schon im April 2018 jemand den Server kompromittiert, auf dem neue Versionen des Programms entwickelt wurden. Der Angreifer nutzte dann den Zugang, um eine Hintertür zu verteilen, die mehr als 900'000 Mal heruntergeladen wurde.

Die Änderung gab Angreifern die Möglichkeit, einen Befehl über eine spezielle URL zu senden, den ein infizierter Webmin-Server dann mit Root-Rechten ausführen würde. Webmin berichtete auf seiner Website über den Exploit und die Gegenmassnahmen.

Als nächstes wurde gemäss 'Ars Technica' des Entwicklers Jan Dintel erlaubte die Hintertür Angreifern, vorab ausgewählte Anmeldeinformationen zu verwenden, um Befehle ihrer Wahl auf infizierten Servern auszuführen und sensible Daten abzugreifen.

Die Serie der Attacken begann im Oktober 2018 mit Angriffen auf das OSS-Projekt des VestaCP Control Panel Interface und ein PyPI-Package namens "Colourama". Es folgten eine Hintertür bei "Event-stream", einer Code-Bibliothek mit rund zwei Millionen Downloads, sowie Attacken auf die RubyGems-Bibliotheken "Bootstrap-sass" und "Strong_password".

"Die jüngsten Entdeckungen machen deutlich, dass diese Probleme immer häufiger auftreten und sich das Sicherheitsumfeld bei der Veröffentlichung und Verwaltung von OSS-Paketen nicht schnell genug verbessert", sagte HD Moore, Vice President für Forschung und Entwicklung bei Atredis Partners, gegenüber "Ars Technica".

Open-Source-Angriffe könnten grosse Auswirkungen haben, da sie sich auf leistungsstarke Server auswirken, die beispielsweise für die Zustellung von E-Mails und die Bereitstellung von Websites verwendet werden. Sobald ein Server eine Backdoor-App installiert hat, hilft lediglich ein vollständiger Rebuild.

"Ohne eine saubere Neuinstallation des Betriebssystems und der Anwendung sowie einem Schlüssel- und Berechtigungswechsel besteht ein erhebliches Risiko, dass das System weiterhin kompromittiert bleibt", erklärte Kenn White, Direktor des Projekts Open Crypto Audit, der US-Website. (paz)