XZ Utils Backdoor Supply Chain Attack avdekker lignende sårbarhetshendelse for mange år siden

Den nylige avsløringen av en bakdør i XZ Utils har vekket minner for en utvikler hos F-Droid, et Android-applager med åpen kildekode, om en tidligere hendelse. PostgreSQL-vedlikeholder Andres Freund slo alarm om en bakdør funnet i Liblzma (XZ Utils) datakomprimeringsbibliotek i slutten av mars. Dette biblioteket er mye brukt av utviklere og kommer forhåndsinstallert i ulike Linux-distribusjoner. Opprinnelig antatt å muliggjøre omgåelse av SSH-autentisering, viste ytterligere gransking at det faktisk muliggjorde ekstern kjøring av kode, utpekt som CVE-2024-3094-sårbarheten.

Supply chain-angrep på åpen kildekode-programvare er ikke uvanlig, men det som skiller denne hendelsen er dens tilsynelatende varighet over flere år. Hans-Christoph Steiner, en F-Droid vedlikeholder, husket en lignende hendelse i 2020. I det tilfellet ble det gjort et forsøk på å sette inn en SQL-injeksjonssårbarhet, selv om den ble hindret. Likheten mellom de to hendelsene ligger i presset som påføres av tilfeldige kontoer for å inkludere ondsinnet kode.

Steiner mener forsøket på å sette inn sårbarheten var bevisst, gitt den påfølgende slettingen av innsenderens konto. I XZ Utils-saken ble bakdøren tilskrevet en person ved navn Jia Tan, eller JiaT75, som kan være en fiktiv identitet skapt av en sofistikert trusselaktør. Jia Tans engasjement i prosjektet begynte uskyldig i oktober 2021, og eskalerte gradvis til betydelige bidrag innen midten av 2023, potensielt som forberedelse til bakdøren.

Bakdøren ble til slutt lagt til i februar 2024 og oppdaget en måned senere av Freund, før utbredt distribusjon. Collin, hovedutvikleren av XZ Utils, gjennomfører en etterforskning av saken. Dan Lorenc, en sikkerhetsekspert i programvareforsyningskjeden, advarte om slike langsiktige angrep i en podcast i 2022, og antydet at regjeringens hackingteam kan være involvert.

Det dvelende spørsmålet er om lignende hendelser, muligens orkestrert av samme eller ulike trusselaktører, vil dukke opp i fremtiden. Etter hvert som Collin går dypere inn i etterforskningen, forventes flere detaljer å dukke opp, som kaster lys over omfanget og implikasjonene av XZ Utils-bakdøren.