„XZ Utils“ užpakalinių durų tiekimo grandinės ataka atskleidžia panašų pažeidžiamumo incidentą prieš daugelį metų

Neseniai atskleistas „XZ Utils“ užpakalinės durys sukėlė F-Droid, atvirojo kodo „Android“ programų saugyklos, kūrėjo prisiminimus apie praeitį. PostgreSQL prižiūrėtojas Andresas Freundas iškėlė pavojaus signalą dėl užpakalinių durų, rastų Liblzma (XZ Utils) duomenų glaudinimo bibliotekoje kovo pabaigoje. Šią biblioteką plačiai naudoja kūrėjai ir ji yra iš anksto įdiegta įvairiuose Linux platinimuose. Iš pradžių manyta, kad galima apeiti SSH autentifikavimą, tolesnis tyrimas parodė, kad tai iš tikrųjų palengvino nuotolinio kodo vykdymą, pažymėtą kaip CVE-2024-3094 pažeidžiamumas.

Tiekimo grandinės atakos prieš atvirojo kodo programinę įrangą nėra neįprastos, tačiau šis incidentas skiriasi tuo, kad jis trunka keletą metų. Hansas-Christophas Steineris, F-Droid prižiūrėtojas, prisiminė panašų įvykį 2020 m. Tuo atveju buvo bandoma įterpti SQL injekcijos pažeidžiamumą, nors tai buvo sutrukdyta. Dviejų incidentų panašumas yra atsitiktinių paskyrų daromas spaudimas įtraukti kenkėjišką kodą.

Steineris mano, kad bandymas įterpti pažeidžiamumą buvo tyčinis, nes vėliau buvo ištrinta pateikėjo paskyra. XZ Utils atveju užpakalinės durys buvo priskirtos asmeniui, vardu Jia Tan arba JiaT75, kuris gali būti fiktyvi tapatybė, sukurta sudėtingo grėsmės veikėjo. Jia Tan įsitraukimas į projektą buvo nekenksmingas 2021 m. spalio mėn., o iki 2023 m. vidurio palaipsniui išaugo į reikšmingą indėlį, galbūt ruošiantis užpakalinėms durims.

Galinės durys galiausiai buvo pridėtos 2024 m. vasario mėn., o po mėnesio jį atrado Freundas, prieš plačiai išplatindamas. Collinas, pagrindinis XZ Utils kūrėjas, atlieka tyrimą šiuo klausimu. Danas Lorencas, programinės įrangos tiekimo grandinės saugumo ekspertas, 2022 m. podcast'e perspėjo apie tokias ilgalaikes atakas, teigdamas, kad gali būti įtrauktos vyriausybės įsilaužimo komandos.

Kyla nuolatinis klausimas, ar panašių incidentų, kuriuos galbūt organizavo tie patys ar skirtingi grėsmės veikėjai, iškils ateityje. Kolinui gilinantis į tyrimą, tikimasi, kad paaiškės daugiau detalių, kurios atskleis XZ Utils užpakalinių durų mastą ir pasekmes.