XZ Utils Backdoor Supply Chain Attack odhaluje podobný incident zranitelnosti před lety

Nedávné odhalení zadních vrátek v XZ Utils vyvolalo vzpomínky vývojáře z F-Droid, open-source úložiště aplikací pro Android, na minulý incident. Správce PostgreSQL Andres Freund na konci března upozornil na zadní vrátka nalezená v knihovně pro kompresi dat Liblzma (XZ Utils). Tato knihovna je široce používána vývojáři a je předinstalovaná v různých distribucích Linuxu. Původně se myslelo, že umožní obcházení autentizace SSH, další zkoumání odhalilo, že to ve skutečnosti usnadnilo vzdálené spouštění kódu, označené jako zranitelnost CVE-2024-3094.

Útoky dodavatelského řetězce na software s otevřeným zdrojovým kódem nejsou neobvyklé, ale to, co odlišuje tento incident, je jeho zjevné trvání v průběhu několika let. Hans-Christoph Steiner, správce F-Droidů, si vzpomněl na podobnou událost v roce 2020. V tom případě byl učiněn pokus o vložení zranitelnosti SQL injection, i když to bylo zmařeno. Podobnost mezi těmito dvěma incidenty spočívá v tlaku vyvíjeném náhodnými účty, aby zahrnovaly škodlivý kód.

Steiner se domnívá, že pokus o vložení zranitelnosti byl úmyslný, vzhledem k následnému smazání účtu zadavatele. V případě XZ Utils byla zadní vrátka připsána osobě jménem Jia Tan nebo JiaT75, což může být fiktivní identita vytvořená sofistikovaným aktérem hrozby. Zapojení Jia Tan do projektu začalo neškodně v říjnu 2021 a postupně se do poloviny roku 2023 vystupňovalo k významným příspěvkům, potenciálně v rámci přípravy na zadní vrátka.

Zadní vrátka byla nakonec přidána v únoru 2024 a objevena o měsíc později Freundem, před širokou distribucí. Collin, hlavní vývojář XZ Utils, provádí vyšetřování této záležitosti. Dan Lorenc, odborník na zabezpečení dodavatelského řetězce softwaru, varoval před takovými dlouhodobými útoky v podcastu v roce 2022, což naznačuje, že by se na tom mohly podílet vládní hackerské týmy.

Přetrvávající otázkou je, zda se v budoucnu objeví podobné incidenty, pravděpodobně zorganizované stejnými nebo různými aktéry ohrožení. Jak se Collin ponoří hlouběji do vyšetřování, očekává se, že se objeví další podrobnosti, které vrhnou světlo na rozsah a důsledky zadních vrátek XZ Utils.