XZ Utils Serangan Rantaian Bekalan Pintu Belakang Mendedahkan Insiden Kerentanan Serupa Sejak Bertahun-tahun Lalu

Pendedahan pintu belakang dalam XZ Utils baru-baru ini telah membangkitkan kenangan bagi pembangun di F-Droid, repositori apl Android sumber terbuka, tentang insiden lalu. Penyelenggara PostgreSQL Andres Freund membangkitkan penggera tentang pintu belakang yang ditemui dalam pustaka mampatan data Liblzma (XZ Utils) pada akhir Mac. Pustaka ini digunakan secara meluas oleh pembangun dan diprapasang dalam pelbagai pengedaran Linux. Pada mulanya difikirkan untuk membolehkan pengesahan SSH memintas, penelitian selanjutnya mendedahkan bahawa ia sebenarnya memudahkan pelaksanaan kod jauh, yang ditetapkan sebagai kerentanan CVE-2024-3094.

Serangan rantaian bekalan ke atas perisian sumber terbuka bukanlah sesuatu yang luar biasa, tetapi apa yang membezakan insiden ini ialah tempoh yang jelas selama beberapa tahun. Hans-Christoph Steiner, penyelenggara F-Droid, mengingatkan peristiwa serupa pada tahun 2020. Dalam keadaan itu, percubaan telah dibuat untuk memasukkan kelemahan suntikan SQL, walaupun ia telah digagalkan. Persamaan antara kedua-dua insiden terletak pada tekanan yang digunakan oleh akaun rawak untuk memasukkan kod berniat jahat.

Steiner percaya percubaan untuk memasukkan kerentanan adalah disengajakan, memandangkan pemadaman seterusnya akaun penyerah. Dalam kes XZ Utils, pintu belakang itu dikaitkan dengan individu bernama Jia Tan, atau JiaT75, yang mungkin identiti rekaan yang dicipta oleh pelakon ancaman yang canggih. Penglibatan Jia Tan dalam projek itu bermula secara tidak berbahaya pada Oktober 2021, secara beransur-ansur meningkat kepada sumbangan besar menjelang pertengahan 2023, berpotensi sebagai persediaan untuk pintu belakang.

Pintu belakang itu akhirnya ditambah pada Februari 2024 dan ditemui sebulan kemudian oleh Freund, sebelum pengedaran meluas. Collin, pemaju utama XZ Utils, sedang menjalankan siasatan ke atas perkara itu. Dan Lorenc, pakar keselamatan rantaian bekalan perisian, memberi amaran tentang serangan jangka panjang sedemikian dalam podcast pada 2022, mencadangkan bahawa pasukan penggodaman kerajaan mungkin terlibat.

Persoalan yang berlarutan ialah sama ada insiden serupa, mungkin didalangi oleh pelakon ancaman yang sama atau berbeza, akan muncul pada masa hadapan. Apabila Collin menyelidiki lebih mendalam mengenai penyiasatan itu, lebih banyak butiran dijangka akan muncul, menjelaskan sejauh mana dan implikasi pintu belakang XZ Utils.