Η επίθεση της αλυσίδας εφοδιασμού με οπίσθια πόρτα του XZ Utils αποκαλύπτει παρόμοιο περιστατικό ευπάθειας πριν από χρόνια

Η πρόσφατη αποκάλυψη μιας κερκόπορτας στο XZ Utils έχει προκαλέσει αναμνήσεις σε έναν προγραμματιστή στο F-Droid, ένα αποθετήριο εφαρμογών Android ανοιχτού κώδικα, ενός παρελθόντος περιστατικού. Ο συντηρητής της PostgreSQL, Andres Freund, προειδοποίησε σχετικά με μια κερκόπορτα που βρέθηκε στη βιβλιοθήκη συμπίεσης δεδομένων Liblzma (XZ Utils) στα τέλη Μαρτίου. Αυτή η βιβλιοθήκη χρησιμοποιείται εκτενώς από προγραμματιστές και διατίθεται προεγκατεστημένη σε διάφορες διανομές Linux. Αρχικά θεωρήθηκε ότι ενεργοποιεί την παράκαμψη ελέγχου ταυτότητας SSH, ο περαιτέρω έλεγχος αποκάλυψε ότι διευκόλυνε πραγματικά την απομακρυσμένη εκτέλεση κώδικα, που χαρακτηρίστηκε ως ευπάθεια CVE-2024-3094.

Οι επιθέσεις εφοδιαστικής αλυσίδας σε λογισμικό ανοιχτού κώδικα δεν είναι ασυνήθιστες, αλλά αυτό που ξεχωρίζει αυτό το περιστατικό είναι η προφανής διάρκειά του για αρκετά χρόνια. Ο Hans-Christoph Steiner, ένας συντηρητής F-Droid, υπενθύμισε ένα παρόμοιο συμβάν το 2020. Σε αυτήν την περίπτωση, έγινε προσπάθεια να εισαχθεί μια ευπάθεια SQL injection, αν και αποτράπηκε. Η ομοιότητα μεταξύ των δύο περιστατικών έγκειται στην πίεση που ασκείται από τυχαίους λογαριασμούς για να συμπεριλάβουν κακόβουλο κώδικα.

Ο Steiner πιστεύει ότι η προσπάθεια εισαγωγής της ευπάθειας ήταν σκόπιμη, δεδομένης της επακόλουθης διαγραφής του λογαριασμού του υποβάλλοντος. Στην υπόθεση XZ Utils, η κερκόπορτα αποδόθηκε σε ένα άτομο με το όνομα Jia Tan ή JiaT75, το οποίο μπορεί να είναι μια πλασματική ταυτότητα που δημιουργήθηκε από έναν περίπλοκο παράγοντα απειλής. Η εμπλοκή της Jia Tan στο έργο ξεκίνησε ακίνδυνα τον Οκτώβριο του 2021, κλιμακούμενη σταδιακά σε σημαντικές συνεισφορές μέχρι τα μέσα του 2023, ενδεχομένως ως προετοιμασία για την κερκόπορτα.

Η κερκόπορτα προστέθηκε τελικά τον Φεβρουάριο του 2024 και ανακαλύφθηκε ένα μήνα αργότερα από τον Freund, πριν από την ευρεία διανομή. Ο Collin, ο κύριος προγραμματιστής του XZ Utils, διεξάγει έρευνα για το θέμα. Ο Dan Lorenc, ειδικός σε θέματα ασφάλειας της εφοδιαστικής αλυσίδας λογισμικού, προειδοποίησε για τέτοιες μακροπρόθεσμες επιθέσεις σε ένα podcast το 2022, υποδηλώνοντας ότι ενδέχεται να εμπλέκονται κυβερνητικές ομάδες hacking.

Το μόνιμο ερώτημα είναι εάν παρόμοια περιστατικά, πιθανώς ενορχηστρωμένα από τους ίδιους ή διαφορετικούς παράγοντες απειλής, θα εμφανιστούν στο μέλλον. Καθώς ο Collin εμβαθύνει στην έρευνα, αναμένεται να προκύψουν περισσότερες λεπτομέρειες, ρίχνοντας φως στην έκταση και τις επιπτώσεις της κερκόπορτας XZ Utils.