XZ Utils מתקפת שרשרת אספקה בדלת אחורית מגלה אירוע פגיעות דומה מלפני שנים

החשיפה האחרונה של דלת אחורית ב-XZ Utils עוררה זיכרונות למפתח ב-F-Droid, מאגר אפליקציות אנדרואיד בקוד פתוח, מתקרית בעבר. מנהל PostgreSQL, אנדרס פרוינד, העלה אזעקות לגבי דלת אחורית שנמצאה בספריית דחיסת הנתונים Liblzma (XZ Utils) בסוף מרץ. ספרייה זו נמצאת בשימוש נרחב על ידי מפתחים ומגיעה מותקנת מראש בהפצות לינוקס שונות. בתחילה חשבו לאפשר עקיפת אימות SSH, בדיקה נוספת גילתה שזה למעשה הקל על ביצוע קוד מרחוק, שהוגדר כפגיעות CVE-2024-3094.

התקפות שרשרת האספקה על תוכנות קוד פתוח אינן נדירות, אבל מה שמייחד את האירוע הזה הוא משך הזמן לכאורה שלו על פני כמה שנים. הנס-כריסטוף שטיינר, מתחזק F-Droid, נזכר באירוע דומה בשנת 2020. במקרה זה, נעשה ניסיון להכניס פגיעות של הזרקת SQL, למרות שהיא סוכלה. הדמיון בין שני התקריות טמון בלחץ המופעל על ידי חשבונות אקראיים לכלול קוד זדוני.

שטיינר סבור שהניסיון להכניס את הפגיעות היה מכוון, לאור המחיקה שלאחר מכן של החשבון של המוסר. במקרה של XZ Utils, הדלת האחורית יוחסה לאדם בשם Jia Tan, או JiaT75, שעשוי להיות זהות פיקטיבית שנוצרה על ידי שחקן איום מתוחכם. המעורבות של ג'יה טאן בפרויקט החלה ללא תמימות באוקטובר 2021, והסלימה בהדרגה לתרומות משמעותיות עד אמצע 2023, אולי כהכנה לדלת האחורית.

הדלת האחורית נוספה בסופו של דבר בפברואר 2024 והתגלתה חודש לאחר מכן על ידי פרוינד, לפני הפצה נרחבת. קולין, המפתח הראשי של XZ Utils, עורך חקירה בנושא. דן לורנץ, מומחה לאבטחת שרשרת אספקת תוכנה, הזהיר מפני התקפות ארוכות טווח כאלה בפודקאסט בשנת 2022, מה שמרמז על כך שצוותי פריצה ממשלתיים עשויים להיות מעורבים.

השאלה המתמשכת היא האם תקריות דומות, אולי מתוזמרות על ידי אותם גורמי איום או שונים, יצוצו בעתיד. ככל שקולין יעמיק בחקירה, פרטים נוספים צפויים לצוץ, ולשפוך אור על ההיקף וההשלכות של הדלת האחורית של XZ Utils.