Multi-License Discount Quote
Computer Security حمله زنجیره تامین XZ Utils آسیب‌پذیری مشابه سال‌ها پیش را...

حمله زنجیره تامین XZ Utils آسیب‌پذیری مشابه سال‌ها پیش را کشف کرد

تا Mura در Computer Security
ترجمه به:
فارسی

افشای اخیر یک درب پشتی در XZ Utils خاطرات یک برنامه‌نویس در F-Droid، یک مخزن منبع باز برنامه اندروید، از یک حادثه گذشته را برانگیخت. آندرس فروند، نگهدارنده PostgreSQL، در پایان ماه مارس هشدارهایی را درباره درب پشتی موجود در کتابخانه فشرده سازی داده Liblzma (XZ Utils) به صدا درآورد. این کتابخانه به طور گسترده توسط توسعه دهندگان استفاده می شود و در توزیع های مختلف لینوکس از پیش نصب شده است. در ابتدا تصور می شد که دور زدن احراز هویت SSH را فعال می کند، بررسی های بیشتر نشان داد که در واقع اجرای کد از راه دور را تسهیل می کند که به عنوان آسیب پذیری CVE-2024-3094 تعیین شده است.

حملات زنجیره تامین به نرم‌افزارهای منبع باز غیرمعمول نیستند، اما آنچه این حادثه را متمایز می‌کند، مدت زمان ظاهری آن در چندین سال است. Hans-Christoph Steiner، یک نگهدارنده F-Droid، رویداد مشابهی را در سال 2020 به یاد آورد. در آن نمونه، تلاشی برای وارد کردن آسیب‌پذیری تزریق SQL انجام شد، اگرچه خنثی شد. شباهت بین این دو رویداد در فشار اعمال شده توسط حساب های تصادفی برای گنجاندن کدهای مخرب نهفته است.

اشتاینر معتقد است که با توجه به حذف بعدی حساب ارسال کننده، تلاش برای درج آسیب پذیری عمدی بوده است. در مورد XZ Utils، درب پشتی به فردی به نام Jia Tan یا JiaT75 نسبت داده شد که ممکن است هویتی ساختگی باشد که توسط یک بازیگر تهدید کننده پیچیده ایجاد شده است. مشارکت جیا تان در این پروژه به طور بی ضرر در اکتبر 2021 آغاز شد و به تدریج تا اواسط سال 2023 به کمک های قابل توجهی افزایش یافت و به طور بالقوه در آماده سازی برای درب پشتی بود.

درب پشتی سرانجام در فوریه 2024 اضافه شد و یک ماه بعد توسط فروند، قبل از توزیع گسترده، کشف شد. Collin، توسعه دهنده اصلی XZ Utils، در حال انجام تحقیقات در مورد این موضوع است. دن لورنک، کارشناس امنیت زنجیره تامین نرم‌افزار، در پادکستی در سال 2022 در مورد چنین حملات طولانی‌مدتی هشدار داد و نشان داد که ممکن است تیم‌های هک دولتی درگیر باشند.

سوال باقی مانده این است که آیا حوادث مشابهی که احتمالاً توسط عوامل تهدید یکسان یا متفاوت سازماندهی شده اند، در آینده ظاهر خواهند شد؟ همانطور که Collin عمیق تر به تحقیقات می پردازد، انتظار می رود جزئیات بیشتری ظاهر شود و ابعاد و پیامدهای درب پشتی XZ Utils را روشن کند.

بارگذاری...