L'attacco backdoor alla catena di fornitura di XZ Utils scopre un incidente di vulnerabilità simile di anni fa

La recente rivelazione di una backdoor in XZ Utils ha risvegliato in uno sviluppatore di F-Droid, un repository di app Android open source, ricordi di un incidente passato. Il manutentore di PostgreSQL, Andres Freund, ha lanciato l'allarme riguardo una backdoor trovata nella libreria di compressione dati Liblzma (XZ Utils) alla fine di marzo. Questa libreria è ampiamente utilizzata dagli sviluppatori e viene preinstallata in varie distribuzioni Linux. Inizialmente pensato per consentire l'elusione dell'autenticazione SSH, un ulteriore esame ha rivelato che in realtà facilitava l'esecuzione di codice remoto, designata come vulnerabilità CVE-2024-3094.

Gli attacchi alla catena di fornitura contro software open source non sono rari, ma ciò che distingue questo incidente è la sua durata apparente per diversi anni. Hans-Christoph Steiner, manutentore di F-Droid, ha ricordato un evento simile nel 2020. In quel caso è stato fatto un tentativo di inserire una vulnerabilità SQL injection, ma è stato sventato. La somiglianza tra i due incidenti risiede nella pressione esercitata da account casuali per includere codice dannoso.

Steiner ritiene che il tentativo di inserire la vulnerabilità sia stato intenzionale, data la successiva cancellazione dell'account del mittente. Nel caso XZ Utils, la backdoor è stata attribuita a un individuo chiamato Jia Tan, o JiaT75, che potrebbe essere un'identità fittizia creata da un sofisticato attore di minacce. Il coinvolgimento di Jia Tan nel progetto è iniziato innocuamente nell'ottobre 2021, aumentando gradualmente fino a raggiungere contributi significativi entro la metà del 2023, potenzialmente in preparazione alla backdoor.

La backdoor è stata infine aggiunta nel febbraio 2024 e scoperta un mese dopo da Freund, prima della distribuzione su vasta scala. Collin, il principale sviluppatore di XZ Utils, sta conducendo un'indagine sulla questione. Dan Lorenc, un esperto di sicurezza della catena di fornitura del software, ha messo in guardia da tali attacchi a lungo termine in un podcast nel 2022, suggerendo che potrebbero essere coinvolte squadre di hacker governative.

La domanda persistente è se incidenti simili, possibilmente orchestrati dagli stessi o da diversi autori di minacce, emergeranno in futuro. Man mano che Collin approfondirà le indagini, dovrebbero emergere ulteriori dettagli, che faranno luce sulla portata e sulle implicazioni della backdoor di XZ Utils.