L'atac de la cadena de subministrament de la porta posterior de XZ Utils descobreix un incident de vulnerabilitat similar des de fa anys

La recent revelació d'una porta del darrere a XZ Utils ha despertat records per a un desenvolupador de F-Droid, un dipòsit d'aplicacions d'Android de codi obert, d'un incident passat. El responsable de PostgreSQL, Andres Freund, va disparar les alarmes sobre una porta del darrere que es trobava a la biblioteca de compressió de dades Liblzma (XZ Utils) a finals de març. Aquesta biblioteca és àmpliament utilitzada pels desenvolupadors i ve preinstal·lada en diverses distribucions de Linux. Inicialment pensat per permetre l'evitació de l'autenticació SSH, un escrutini addicional va revelar que en realitat facilitava l'execució de codi remota, designada com a vulnerabilitat CVE-2024-3094.

Els atacs de la cadena de subministrament al programari de codi obert no són estranys, però el que diferencia aquest incident és la seva aparent durada durant diversos anys. Hans-Christoph Steiner, un mantenedor de F-Droid, va recordar un esdeveniment similar el 2020. En aquest cas, es va intentar inserir una vulnerabilitat d'injecció SQL, tot i que es va frustrar. La similitud entre els dos incidents rau en la pressió aplicada pels comptes aleatoris per incloure codi maliciós.

Steiner creu que l'intent d'inserir la vulnerabilitat va ser intencionat, donada la posterior supressió del compte del remitent. En el cas de XZ Utils, la porta del darrere es va atribuir a un individu anomenat Jia Tan, o JiaT75, que pot ser una identitat fictícia creada per un actor d'amenaces sofisticat. La participació de Jia Tan en el projecte va començar de manera innocua l'octubre de 2021, augmentant gradualment a contribucions importants a mitjans de 2023, potencialment en preparació per a la porta del darrere.

La porta del darrere es va afegir finalment el febrer de 2024 i Freund la va descobrir un mes després, abans de la seva distribució generalitzada. Collin, el principal desenvolupador de XZ Utils, està duent a terme una investigació sobre l'assumpte. Dan Lorenc, un expert en seguretat de la cadena de subministrament de programari, va advertir d'aquests atacs a llarg termini en un podcast el 2022, suggerint que podrien estar implicats equips de pirateria governamental.

La pregunta persistent és si en el futur apareixeran incidents similars, possiblement orquestrats pels mateixos actors d'amenaça o diferents. A mesura que Collin aprofundeix en la investigació, s'espera que surtin més detalls, que il·luminin l'abast i les implicacions de la porta del darrere de XZ Utils.