XZ Utils Backdoor атака на веригата за доставки разкрива подобен инцидент с уязвимост отпреди години

Неотдавнашното разкритие на задната врата в XZ Utils събуди спомени за минал инцидент у разработчик от F-Droid, хранилище на приложения за Android с отворен код. Поддържащият PostgreSQL Андрес Фройнд алармира за открита задна врата в библиотеката за компресиране на данни Liblzma (XZ Utils) в края на март. Тази библиотека се използва широко от разработчиците и се предлага предварително инсталирана в различни Linux дистрибуции. Първоначално се смяташе, че позволява заобикаляне на SSH удостоверяване, по-нататъшно проучване разкри, че всъщност улеснява дистанционното изпълнение на код, обозначено като уязвимост CVE-2024-3094.

Атаките по веригата на доставки срещу софтуер с отворен код не са необичайни, но това, което отличава този инцидент, е очевидната му продължителност от няколко години. Ханс-Кристоф Щайнер, поддържащ F-Droid, припомни подобно събитие през 2020 г. В този случай беше направен опит за вмъкване на уязвимост на SQL инжекция, въпреки че беше осуетен. Приликата между двата инцидента се крие в натиска, упражняван от произволни акаунти за включване на зловреден код.

Щайнер смята, че опитът за вмъкване на уязвимостта е бил умишлен, като се има предвид последващото изтриване на акаунта на подателя. В случая с XZ Utils задната врата беше приписана на лице на име Jia Tan, или JiaT75, което може да е фиктивна самоличност, създадена от усъвършенстван актьор за заплаха. Участието на Jia Tan в проекта започна безобидно през октомври 2021 г., като постепенно ескалира до значителни приноси до средата на 2023 г., потенциално като подготовка за задната врата.

В крайна сметка задната врата беше добавена през февруари 2024 г. и открита месец по-късно от Freund, преди широкото разпространение. Collin, основният разработчик на XZ Utils, провежда разследване по въпроса. Дан Лоренц, експерт по сигурността на веригата за доставки на софтуер, предупреди за такива дългосрочни атаки в подкаст през 2022 г., предполагайки, че може да са замесени правителствени хакерски екипи.

Оставащият въпрос е дали подобни инциденти, евентуално организирани от едни и същи или различни заплахи, ще се появят в бъдеще. Докато Collin се задълбочава в разследването, се очаква да излязат повече подробности, хвърлящи светлина върху степента и последиците от задната врата на XZ Utils.