XZ Utils Backdoor Supply Chain Attack onthult een soortgelijk kwetsbaarheidsincident als jaren geleden

De recente onthulling van een achterdeur in XZ Utils heeft bij een ontwikkelaar bij F-Droid, een open-source Android-app-repository, herinneringen opgeroepen aan een incident uit het verleden. PostgreSQL-onderhouder Andres Freund sloeg eind maart alarm over een achterdeur gevonden in de datacompressiebibliotheek Liblzma (XZ Utils). Deze bibliotheek wordt veelvuldig gebruikt door ontwikkelaars en is vooraf geïnstalleerd in verschillende Linux-distributies. Aanvankelijk werd gedacht dat het het omzeilen van SSH-authenticatie mogelijk zou maken, maar bij nader onderzoek bleek dat het feitelijk de uitvoering van externe code mogelijk maakte, aangeduid als de CVE-2024-3094-kwetsbaarheid.

Supply chain-aanvallen op open-sourcesoftware zijn niet ongewoon, maar wat dit incident onderscheidt is de schijnbare duur ervan over meerdere jaren. Hans-Christoph Steiner, een F-Droid-onderhouder, herinnerde zich een soortgelijke gebeurtenis in 2020. In dat geval werd een poging gedaan om een kwetsbaarheid voor SQL-injectie in te voegen, hoewel deze werd verijdeld. De overeenkomst tussen de twee incidenten ligt in de druk die door willekeurige accounts wordt uitgeoefend om kwaadaardige code toe te voegen.

Steiner is van mening dat de poging om het beveiligingslek in te voegen opzettelijk was, gezien de daaropvolgende verwijdering van het account van de indiener. In de XZ Utils-zaak werd de achterdeur toegeschreven aan een persoon genaamd Jia Tan, of JiaT75, die mogelijk een fictieve identiteit is die is gecreëerd door een geavanceerde dreigingsacteur. De betrokkenheid van Jia Tan bij het project begon onschuldig in oktober 2021 en escaleerde geleidelijk tot aanzienlijke bijdragen medio 2023, mogelijk ter voorbereiding op de achterdeur.

De achterdeur werd uiteindelijk in februari 2024 toegevoegd en een maand later ontdekt door Freund, voordat deze op grote schaal werd verspreid. Collin, de belangrijkste ontwikkelaar van XZ Utils, voert een onderzoek uit naar de zaak. Dan Lorenc, een beveiligingsexpert op het gebied van software supply chain, waarschuwde in 2022 in een podcast voor dergelijke langdurige aanvallen en suggereerde dat hackteams van de overheid erbij betrokken zouden kunnen zijn.

De slepende vraag is of soortgelijke incidenten, mogelijk georkestreerd door dezelfde of verschillende dreigingsactoren, in de toekomst aan de oppervlakte zullen komen. Naarmate Collin dieper in het onderzoek duikt, zullen er naar verwachting meer details naar voren komen, die licht zullen werpen op de omvang en implicaties van de XZ Utils-achterdeur.