XZ Utils backdoor napad na lanac opskrbe otkriva sličan incident ranjivosti od prije nekoliko godina

Nedavno otkriće backdoor-a u XZ Utilsu pobudilo je sjećanja kod programera u F-Droidu, repozitoriju Android aplikacija otvorenog koda, na prošli incident. Održavatelj PostgreSQL-a Andres Freund podigao je uzbunu zbog stražnjih vrata pronađenih u biblioteci za kompresiju podataka Liblzma (XZ Utils) krajem ožujka. Ovu biblioteku intenzivno koriste programeri i dolazi unaprijed instalirana u raznim distribucijama Linuxa. U početku se mislilo da omogućuje zaobilaženje SSH autentifikacije, daljnjim ispitivanjem otkriveno je da zapravo olakšava daljinsko izvršavanje koda, označeno kao CVE-2024-3094 ranjivost.

Napadi lanca opskrbe na softver otvorenog koda nisu neuobičajeni, ali ono što izdvaja ovaj incident je njegovo očito trajanje tijekom nekoliko godina. Hans-Christoph Steiner, održavatelj F-Droida, prisjetio se sličnog događaja 2020. U tom je slučaju pokušano umetanje ranjivosti SQL injection, iako je to spriječeno. Sličnost između ta dva incidenta leži u pritisku koji vrše nasumični računi da uključe zlonamjerni kod.

Steiner vjeruje da je pokušaj umetanja ranjivosti bio namjeran, s obzirom na naknadno brisanje računa podnositelja. U slučaju XZ Utils, backdoor je pripisan pojedincu po imenu Jia Tan, ili JiaT75, koji bi mogao biti fiktivni identitet koji je stvorio sofisticirani akter prijetnje. Sudjelovanje Jia Tana u projektu počelo je bezazleno u listopadu 2021., postupno eskalirajući do značajnih doprinosa do sredine 2023., potencijalno kao priprema za stražnja vrata.

Stražnja vrata su naposljetku dodana u veljači 2024., a Freund ih je otkrio mjesec dana kasnije, prije široke distribucije. Collin, glavni programer XZ Utilsa, provodi istragu o ovom slučaju. Dan Lorenc, stručnjak za sigurnost lanca nabave softvera, upozorio je na takve dugoročne napade u podcastu 2022., sugerirajući da bi vladini timovi za hakiranje mogli biti uključeni.

Ostaje pitanje hoće li se slični incidenti, možda orkestrirani od strane istih ili različitih aktera prijetnji, pojaviti u budućnosti. Dok Collin dublje ulazi u istragu, očekuje se da će se pojaviti više detalja koji će rasvijetliti opseg i implikacije stražnjih vrata XZ Utilsa.