XZ Utils Backdoor Supply Chain Attack paljastaa samanlaisen haavoittuvuustapauksen vuosien takaa

Äskettäinen paljastus XZ Utilsin takaovesta on herättänyt muistoja F-Droidin, avoimen lähdekoodin Android-sovellusvaraston, kehittäjälle menneestä tapauksesta. PostgreSQL-ylläpitäjä Andres Freund hälytti maaliskuun lopussa Liblzma (XZ Utils) -tiedonpakkauskirjastosta löytyneestä takaovesta. Tätä kirjastoa käyttävät laajasti kehittäjät, ja se on esiasennettu useisiin Linux-jakeluihin. Alunperin ajateltiin mahdollistavan SSH-todennuksen ohituksen, mutta lisätarkastelu paljasti, että se itse asiassa helpotti koodin etäsuoritusta, jota kutsuttiin CVE-2024-3094-haavoittuvuudeksi.

Avoimen lähdekoodin ohjelmistoihin kohdistuvat toimitusketjuhyökkäykset eivät ole harvinaisia, mutta tapauksen erottaa sen ilmeinen kesto useiden vuosien ajan. Hans-Christoph Steiner, F-Droid-ylläpitäjä, muisteli samanlaisen tapahtuman vuonna 2020. Siinä tapauksessa yritettiin lisätä SQL-injektion haavoittuvuus, vaikka se estettiin. Samankaltaisuus näiden kahden tapauksen välillä on satunnaisten tilien painostuksessa sisällyttää haitallista koodia.

Steiner uskoo, että yritys lisätä haavoittuvuus oli tahallinen, koska lähettäjän tili myöhemmin poistettiin. XZ Utils -tapauksessa takaoven syyksi katsottiin Jia Tan tai JiaT75-niminen henkilö, joka saattaa olla hienostuneen uhkatoimijan luoma fiktiivinen identiteetti. Jia Tanin osallistuminen projektiin alkoi harmittomasti lokakuussa 2021 ja laajeni vähitellen merkittäviksi panoksiksi vuoden 2023 puoliväliin mennessä, mahdollisesti takaoven valmistelussa.

Takaovi lisättiin lopulta helmikuussa 2024, ja Freund löysi sen kuukautta myöhemmin ennen laajaa levitystä. Collin, XZ Utilsin pääkehittäjä, tutkii asiaa. Ohjelmiston toimitusketjun tietoturva-asiantuntija Dan Lorenc varoitti tällaisista pitkäaikaisista hyökkäyksistä podcastissa vuonna 2022 ja vihjasi, että hallituksen hakkerointitiimejä saattaa olla mukana.

Pysyvä kysymys on, ilmaantuuko tulevaisuudessa samanlaisia tapauksia, mahdollisesti saman tai eri uhkatoimijoiden järjestämiä. Collinin syventyessä tutkimukseen, lisää yksityiskohtia odotetaan ilmestyvän, mikä valaisee XZ Utils -takaoven laajuutta ja vaikutuksia.