Weiterer Supply-Chain-Angriff auf Open-Source-Bibliothek

16. April 2024 um 13:14
  • security
  • open source
  • cybercrime
  • International
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

Cyberkriminelle wollten sich Zugang zu einem Open-Source-Projekt erschleichen. Das zeigt die Anfälligkeit von solchen Lösungen.

Anfang Monat wurden zwei schwerwiegende Lücken in verschiedenen Versionen von "XZ Utils" gefunden. Die Daten­komprimierungs­bibliothek ist in Unix-Systemen weit verbreitet. Wären die Schwachstellen nicht durch reinen Zufall entdeckt worden, hätten die Hacker einen enormen Schaden anrichten können, denn mit dem Supply-Chain-Angriff hätten sie die Kontrolle über Millionen Servern übernehmen können.
Jetzt haben Forschende der OpenJS Foundation einen weiteren Versuch entdeckt, bei dem Cyberkriminelle ein nicht genauer benanntes Open-Source-Projekt infiltrieren wollten. OpenJS warnt in einem Beitrag davor, dass sie "eine Reihe von verdächtigen E-Mails mit Nachrichten erhalten haben, die unterschiedliche Namen tragen und sich mit GitHub-assoziierten E-Mail-Adressen überschneiden".
In der Nachricht wurde die Open-Source-Organisation dazu aufgefordert, eines ihrer Javascript-Projekte zu aktualisieren, um eine kritische Sicher­heits­lücke zu schliessen. "Die Verfasser wollten von OpenJS als neue Betreuer des Projekts benannt werden, obwohl sie zuvor kaum daran beteiligt waren", so Robin Bender Ginn, Executive Director der Foundation.

Nur wenige Betreuer

Laut dem Security-Experten hatte keine der beteiligten Personen je einen privilegierten Zugang zu dem von OpenJS gehosteten Projekt. Dieses verfügt gemäss Ginn über eigene Sicherheitsrichtlinien, die von der Sicherheits­arbeits­gruppe der Organisation festgelegt wurden. Deshalb betrachtet die OpenJS Foundation den Versuch als ein weiteres Beispiel dafür, dass Open-Source-Betreiber stets wachsam bleiben müssen.
Chris Hughes, Chief Security Advisor beim Open-Source-Security-Anbieter Endor Labs und Cyber Innovation Fellow bei der amerikanischen Cyber­security and Infrastructure Security Agency (CISA), sagte gegenüber 'The Record', dass schätzungsweise ein Viertel aller Open-Source-Projekte nur einen einzigen Betreuer haben und 94% nicht mehr als 10 Personen, die für die Software und deren Sicherheit zuständig sind.
Hughes wies zudem darauf hin, dass das Open-Source-Ökosystem unglaublich undurchsichtig ist. So sollen Komponenten und Projekte, die für die digitale Infrastruktur von entscheidender Bedeutung sind, oft von Personen mit unbekannten Pseudonymen oder über den ganzen Globus verteilt betreut werden.
"Dies macht das gesamte Ökosystem anfällig für böswillige Akteure, die sich diese Gegebenheiten zunutze machen und überforderte Betreuer ausnutzen. Die Anforderungen der Community seien zwar hoch, doch die Betreuer werden für ihre harte Arbeit und ihr Engagement bei der Pflege des Codes nicht entlohnt", sagte er.

Entschädigung gefordert

Für Firmen, die Open-Source-Lösungen in ihren Systemen einsetzen, bedeute dies einen "grundlegenden Wandel", sagten Jack Cable und Aeva Black von der CISA. "Jeder Technologiehersteller, der von Open-Source-Software profitiert, muss seinen Teil dazu beitragen, indem er die Lösungen verant­wortungs­bewusst nutzt und nachhaltig mitgestaltet."
"Die Verantwortung über die Sicherheit sollte nicht einem einzelnen Open-Source-Betreuer aufgebürdet werden", sind sich die beiden einig. "Vielmehr müssen Unternehmen, die Open-Source-Software nutzen, einen finanziellen oder zeitlichen Beitrag leisten, um ein nachhaltiges Open-Source-Ökosystem zu gewährleisten", sagten sie. Technologiehersteller sollten sich deshalb dafür einsetzen, dass auch bei der Entwicklung von Open-Source-Software "Secure by Design" zum Einsatz kommt.

Loading

Mehr erfahren

Mehr zum Thema

image

Noch mehr Daten von Dell gestohlen

Dell ist von einem grossen Data Breach betroffen. Jetzt behauptet der verantwortliche Hacker, auch noch ein anderes System geknackt zu haben.

publiziert am 15.5.2024
image

ETH-Forschende tricksen Easyride der SBB aus

Den Standortdaten eines Smartphones sollten nicht vertraut werden, bilanzieren ETH-Forschende nach einem Experiment, das es ihnen ermöglichte, gratis Zug zu fahren.

publiziert am 15.5.2024
image

Machen xAI und Oracle bei KI gemeinsame Sache?

Gerüchten zufolge will das KI-Startup von Elon Musk GPU-Server bei Oracle mieten. Dafür sollen 10 Milliarden Dollar fliessen.

publiziert am 15.5.2024
image

AWS-CEO Adam Selipsky tritt zurück

Die Cloud-Sparte von Amazon erhält mit Matt Garman einen neuen CEO. Er ist bereits seit fast 20 Jahren beim Unternehmen tätig.

publiziert am 14.5.2024