Az XZ Utils Backdoor Supply Chain támadása hasonló, évekkel ezelőtti sebezhetőséget tárt fel

Az XZ Utils hátsó ajtójának közelmúltbeli feltárása felkavarta az F-Droid, egy nyílt forráskódú Android-alkalmazások tárházának egyik fejlesztőjét egy múltbeli eseményről. A PostgreSQL karbantartója, Andres Freund riasztást adott a Liblzma (XZ Utils) adattömörítési könyvtárában március végén talált hátsó ajtó miatt. Ezt a könyvtárat széles körben használják a fejlesztők, és előre telepítve van a különböző Linux disztribúciókban. Kezdetben úgy gondolták, hogy lehetővé teszi az SSH-hitelesítés megkerülését, a további vizsgálat során kiderült, hogy valójában a távoli kódfuttatást segítette elő, amelyet a CVE-2024-3094 sérülékenységként jelöltek meg.

A nyílt forráskódú szoftverek elleni ellátási lánc támadások nem ritkák, de ez az incidens különbözteti meg a több éven át tartó látszólagos időtartamát. Hans-Christoph Steiner, az F-Droid karbantartója felidézett egy hasonló eseményt 2020-ban. Ebben az esetben egy SQL-injekciós sebezhetőséget próbáltak beilleszteni, bár ez meghiúsult. A két incidens közötti hasonlóság abban rejlik, hogy a véletlenszerű fiókok nyomást gyakorolnak a rosszindulatú kódok befogadására.

Steiner úgy véli, hogy a sérülékenység beillesztésére tett kísérlet szándékos volt, tekintettel a beküldő fiókjának későbbi törlésére. Az XZ Utils-ügyben a hátsó ajtót egy Jia Tan vagy JiaT75 nevű egyénnek tulajdonították, aki egy kifinomult fenyegetés szereplője által létrehozott fiktív identitás lehet. Jia Tan részvétele a projektben ártalmatlanul 2021 októberében kezdődött, és 2023 közepére fokozatosan jelentős hozzájárulássá nőtte ki magát, potenciálisan a hátsó ajtóra való felkészülés jegyében.

A hátsó ajtót végül 2024 februárjában adták hozzá, és egy hónappal később Freund fedezte fel, mielőtt széles körben elterjedt volna. Collin, az XZ Utils fő fejlesztője nyomozást folytat az ügyben. Dan Lorenc, a szoftverellátási lánc biztonsági szakértője 2022-ben egy podcastban figyelmeztetett az ilyen hosszú távú támadásokra, és arra utalt, hogy kormányzati hackercsapatok érintettek.

Az elhúzódó kérdés az, hogy a jövőben felbukkannak-e hasonló incidensek, amelyeket esetleg ugyanazon vagy különböző fenyegetés szereplői irányítanak. Ahogy Collin mélyebbre ás a nyomozásban, várhatóan további részletek derülnek ki, amelyek fényt derítenek az XZ Utils hátsó ajtó terjedelmére és következményeire.