XZ Utilsi tagaukse tarneahela rünnak paljastas sarnase aastatetaguse haavatavuse juhtumi

Hiljutine XZ Utilsi tagaukse ilmutamine on tekitanud avatud lähtekoodiga Androidi rakenduste hoidla F-Droidi arendaja mälestusi mineviku juhtumist. PostgreSQL-i hooldaja Andres Freund tõstis märtsi lõpus häireid Liblzma (XZ Utils) andmete tihendamise teegist leitud tagaukse kohta. Seda teeki kasutavad arendajad laialdaselt ja see on eelinstallitud erinevatesse Linuxi distributsioonidesse. Algselt arvati, et see võimaldab SSH-i autentimisest möödahiilimist, kuid edasine uurimine näitas, et see hõlbustas tegelikult koodi kaugkäivitamist, mida nimetati haavatavaks CVE-2024-3094.

Tarneahela rünnakud avatud lähtekoodiga tarkvara vastu ei ole haruldased, kuid selle juhtumi eristab selle näiline kestus mitme aasta jooksul. F-Droidi hooldaja Hans-Christoph Steiner meenutas sarnast sündmust 2020. aastal. Sel juhul üritati sisestada SQL-i süstimise haavatavust, kuigi see nurjati. Kahe juhtumi sarnasus seisneb juhuslike kontode surves lisada pahatahtlikku koodi.

Steiner usub, et katse haavatavust sisestada oli tahtlik, arvestades esitaja konto hilisemat kustutamist. XZ Utilsi juhtumi puhul omistati tagauks üksikisikule nimega Jia Tan või JiaT75, kes võib olla väljamõeldud identiteet, mille on loonud kogenud ohunäitleja. Jia Tani osalemine projektis algas kahjutult 2021. aasta oktoobris, kasvades järk-järgult 2023. aasta keskpaigaks märkimisväärse panuseni, potentsiaalselt tagaukse ettevalmistamiseks.

Tagauks lisati lõpuks 2024. aasta veebruaris ja Freund avastas selle kuu aega hiljem, enne selle laialdast levitamist. XZ Utilsi peamine arendaja Collin viib asja juurdluse läbi. Tarkvara tarneahela turvaekspert Dan Lorenc hoiatas 2022. aastal taskuhäälingusaates selliste pikaajaliste rünnakute eest, vihjates, et sellega võivad olla seotud valitsuse häkkimismeeskonnad.

Püsiv küsimus on, kas sarnaseid intsidente, mida võivad korraldada samad või erinevad ohus osalejad, tuleb ka tulevikus pinnale. Kui Collin uurimisse süveneb, on oodata rohkem üksikasju, mis heidavad valgust XZ Utilsi tagaukse ulatusele ja mõjudele.