XZ Utils Backdoor Supply Chain Attack afslører lignende sårbarhedshændelse fra år siden

Den nylige afsløring af en bagdør i XZ Utils har vækket minder for en udvikler hos F-Droid, et open source Android-applager, om en tidligere hændelse. PostgreSQL-vedligeholder Andres Freund rejste alarmer om en bagdør fundet i Liblzma (XZ Utils) datakomprimeringsbibliotek i slutningen af marts. Dette bibliotek bruges flittigt af udviklere og leveres forudinstalleret i forskellige Linux-distributioner. Oprindeligt antaget at muliggøre omgåelse af SSH-godkendelse, afslørede yderligere undersøgelse, at det faktisk lettede fjernudførelse af kode, betegnet som CVE-2024-3094-sårbarheden.

Supply chain-angreb på open source-software er ikke ualmindeligt, men det, der adskiller denne hændelse, er dens tilsyneladende varighed over flere år. Hans-Christoph Steiner, en F-Droid-vedligeholder, mindede om en lignende hændelse i 2020. I det tilfælde blev der forsøgt at indsætte en SQL-injektionssårbarhed, selvom den blev forpurret. Ligheden mellem de to hændelser ligger i det pres, som tilfældige konti udøver for at inkludere ondsindet kode.

Steiner mener, at forsøget på at indsætte sårbarheden var bevidst, givet den efterfølgende sletning af afsenderens konto. I XZ Utils-sagen blev bagdøren tilskrevet en person ved navn Jia Tan eller JiaT75, som kan være en fiktiv identitet skabt af en sofistikeret trusselsaktør. Jia Tans involvering i projektet begyndte uskadeligt i oktober 2021, og eskalerede gradvist til betydelige bidrag i midten af 2023, potentielt som forberedelse til bagdøren.

Bagdøren blev til sidst tilføjet i februar 2024 og opdaget en måned senere af Freund, før udbredt distribution. Collin, hovedudvikleren af XZ Utils, er i gang med en undersøgelse af sagen. Dan Lorenc, en sikkerhedsekspert i softwareforsyningskæden, advarede om sådanne langsigtede angreb i en podcast i 2022, hvilket tyder på, at regeringens hackinghold kan være involveret.

Det dvælende spørgsmål er, om lignende hændelser, muligvis orkestreret af samme eller forskellige trusselsaktører, vil dukke op i fremtiden. Efterhånden som Collin dykker dybere ned i undersøgelsen, forventes flere detaljer at dukke op, hvilket kaster lys over omfanget og implikationerne af XZ Utils-bagdøren.