XZ Utils aizmugures piegādes ķēdes uzbrukums atklāj līdzīgu ievainojamības gadījumu pirms gadiem

Nesenais atklājums par aizmugures durvīm pakalpojumā XZ Utils ir aizkustinājis F-Droid, atvērtā pirmkoda Android lietotņu repozitorija, izstrādātāja atmiņas par pagātnes incidentu. PostgreSQL uzturētājs Andress Freunds izsauca trauksmi par aizmugures durvīm, kas tika atrastas Liblzma (XZ Utils) datu saspiešanas bibliotēkā marta beigās. Šo bibliotēku plaši izmanto izstrādātāji, un tā ir iepriekš instalēta dažādos Linux izplatījumos. Sākotnēji tika uzskatīts, ka tā nodrošina SSH autentifikācijas apiešanu, bet turpmākā pārbaude atklāja, ka tā faktiski veicināja attālo koda izpildi, kas tika apzīmēta kā CVE-2024-3094 ievainojamība.

Piegādes ķēdes uzbrukumi atvērtā pirmkoda programmatūrai nav nekas neparasts, taču šo incidentu atšķir tā šķietamais ilgums vairāku gadu garumā. Hanss Kristofs Šteiners, F-Droid uzturētājs, atgādināja līdzīgu notikumu 2020. gadā. Tādā gadījumā tika mēģināts ievietot SQL injekcijas ievainojamību, lai gan tas tika izjaukts. Abu incidentu līdzība slēpjas nejaušu kontu izdarītajā spiedienā iekļaut ļaunprātīgu kodu.

Šteiners uzskata, ka mēģinājums ievietot ievainojamību bija tīšs, ņemot vērā vēlāko iesniedzēja konta dzēšanu. XZ Utils gadījumā aizmugures durvis tika attiecinātas uz personu, vārdā Jia Tan vai JiaT75, kas, iespējams, ir fiktīva identitāte, ko radījis izsmalcināts draudu aktieris. Jia Tan iesaistīšanās projektā sākās nekaitīgi 2021. gada oktobrī, pakāpeniski sasniedzot nozīmīgu ieguldījumu līdz 2023. gada vidum, iespējams, gatavojoties aizmugures durvīm.

Aizmugurējās durvis beidzot tika pievienotas 2024. gada februārī, un pēc mēneša to atklāja Freunds, pirms tas tika izplatīts plaši. Kolins, galvenais XZ Utils izstrādātājs, veic lietas izmeklēšanu. Programmatūras piegādes ķēdes drošības eksperts Dens Lorens 2022. gadā podkāstā brīdināja par šādiem ilgstošiem uzbrukumiem, liekot domāt, ka varētu būt iesaistītas valdības hakeru komandas.

Pastāvīgs jautājums ir par to, vai nākotnē parādīsies līdzīgi incidenti, kurus, iespējams, organizēs tie paši vai dažādi apdraudējuma dalībnieki. Kolinam iedziļinoties izmeklēšanā, ir sagaidāms, ka parādīsies sīkāka informācija, kas atklāj XZ Utils aizmugures durvju apjomu un ietekmi.