XZ ਯੂਟਿਲਸ ਬੈਕਡੋਰ ਸਪਲਾਈ ਚੇਨ ਅਟੈਕ ਨੇ ਕਈ ਸਾਲ ਪਹਿਲਾਂ ਦੀ ਸਮਾਨ ਕਮਜ਼ੋਰੀ ਦੀ ਘਟਨਾ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ
XZ Utils ਵਿੱਚ ਇੱਕ ਬੈਕਡੋਰ ਦੇ ਹਾਲ ਹੀ ਵਿੱਚ ਹੋਏ ਖੁਲਾਸੇ ਨੇ F-Droid, ਇੱਕ ਓਪਨ-ਸੋਰਸ ਐਂਡਰੌਇਡ ਐਪ ਰਿਪੋਜ਼ਟਰੀ, ਦੇ ਇੱਕ ਡਿਵੈਲਪਰ ਲਈ ਪਿਛਲੀ ਘਟਨਾ ਦੀਆਂ ਯਾਦਾਂ ਨੂੰ ਜਗਾਇਆ ਹੈ। PostgreSQL ਮੇਨਟੇਨਰ ਐਂਡਰਸ ਫਰਾਉਂਡ ਨੇ ਮਾਰਚ ਦੇ ਅੰਤ ਵਿੱਚ ਲਿਬਲਜ਼ਮਾ (ਐਕਸਜ਼ੈਡ ਯੂਟਿਲਜ਼) ਡੇਟਾ ਕੰਪਰੈਸ਼ਨ ਲਾਇਬ੍ਰੇਰੀ ਵਿੱਚ ਪਾਏ ਗਏ ਇੱਕ ਬੈਕਡੋਰ ਬਾਰੇ ਅਲਾਰਮ ਉਠਾਇਆ। ਇਹ ਲਾਇਬ੍ਰੇਰੀ ਡਿਵੈਲਪਰਾਂ ਦੁਆਰਾ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੀ ਜਾਂਦੀ ਹੈ ਅਤੇ ਕਈ ਲੀਨਕਸ ਡਿਸਟਰੀਬਿਊਸ਼ਨਾਂ ਵਿੱਚ ਪਹਿਲਾਂ ਤੋਂ ਸਥਾਪਿਤ ਹੁੰਦੀ ਹੈ। ਸ਼ੁਰੂ ਵਿੱਚ SSH ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਲਈ ਸੋਚਿਆ ਗਿਆ ਸੀ, ਹੋਰ ਜਾਂਚ ਤੋਂ ਪਤਾ ਲੱਗਿਆ ਹੈ ਕਿ ਇਹ ਅਸਲ ਵਿੱਚ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ, ਜਿਸਨੂੰ CVE-2024-3094 ਕਮਜ਼ੋਰੀ ਵਜੋਂ ਮਨੋਨੀਤ ਕੀਤਾ ਗਿਆ ਹੈ।
ਓਪਨ-ਸੋਰਸ ਸੌਫਟਵੇਅਰ 'ਤੇ ਸਪਲਾਈ ਚੇਨ ਹਮਲੇ ਅਸਧਾਰਨ ਨਹੀਂ ਹਨ, ਪਰ ਜੋ ਚੀਜ਼ ਇਸ ਘਟਨਾ ਨੂੰ ਵੱਖਰਾ ਕਰਦੀ ਹੈ ਉਹ ਕਈ ਸਾਲਾਂ ਤੋਂ ਇਸਦੀ ਸਪੱਸ਼ਟ ਮਿਆਦ ਹੈ। ਹੈਂਸ-ਕ੍ਰਿਸਟੌਫ ਸਟੀਨਰ, ਇੱਕ F-Droid ਮੇਨਟੇਨਰ, ਨੇ 2020 ਵਿੱਚ ਇੱਕ ਸਮਾਨ ਘਟਨਾ ਨੂੰ ਯਾਦ ਕੀਤਾ। ਉਸ ਸਥਿਤੀ ਵਿੱਚ, ਇੱਕ SQL ਇੰਜੈਕਸ਼ਨ ਕਮਜ਼ੋਰੀ ਪਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ ਗਈ ਸੀ, ਹਾਲਾਂਕਿ ਇਸਨੂੰ ਨਾਕਾਮ ਕਰ ਦਿੱਤਾ ਗਿਆ ਸੀ। ਦੋ ਘਟਨਾਵਾਂ ਵਿਚਕਾਰ ਸਮਾਨਤਾ ਖਤਰਨਾਕ ਕੋਡ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਲਈ ਬੇਤਰਤੀਬ ਖਾਤਿਆਂ ਦੁਆਰਾ ਲਾਗੂ ਕੀਤੇ ਦਬਾਅ ਵਿੱਚ ਹੈ।
ਸਟੀਨਰ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ ਸਬਮਿਟਕਰਤਾ ਦੇ ਖਾਤੇ ਦੇ ਬਾਅਦ ਵਿੱਚ ਮਿਟਾਏ ਜਾਣ ਦੇ ਮੱਦੇਨਜ਼ਰ, ਕਮਜ਼ੋਰੀ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਜਾਣਬੁੱਝ ਕੇ ਕੀਤੀ ਗਈ ਸੀ। XZ Utils ਕੇਸ ਵਿੱਚ, ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਨੂੰ Jia Tan, ਜਾਂ JiaT75 ਨਾਮਕ ਇੱਕ ਵਿਅਕਤੀ ਨੂੰ ਦਿੱਤਾ ਗਿਆ ਸੀ, ਜੋ ਇੱਕ ਸੂਝਵਾਨ ਧਮਕੀ ਅਭਿਨੇਤਾ ਦੁਆਰਾ ਬਣਾਈ ਗਈ ਇੱਕ ਕਾਲਪਨਿਕ ਪਛਾਣ ਹੋ ਸਕਦੀ ਹੈ। ਪ੍ਰੋਜੈਕਟ ਵਿੱਚ ਜੀਆ ਟੈਨ ਦੀ ਸ਼ਮੂਲੀਅਤ ਅਕਤੂਬਰ 2021 ਵਿੱਚ ਨਿਰਦੋਸ਼ ਤੌਰ 'ਤੇ ਸ਼ੁਰੂ ਹੋਈ, ਹੌਲੀ-ਹੌਲੀ 2023 ਦੇ ਮੱਧ ਤੱਕ ਮਹੱਤਵਪੂਰਨ ਯੋਗਦਾਨਾਂ ਤੱਕ ਵਧਦੀ ਗਈ, ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਦੀ ਤਿਆਰੀ ਵਿੱਚ।
ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਨੂੰ ਆਖਰਕਾਰ ਫਰਵਰੀ 2024 ਵਿੱਚ ਜੋੜਿਆ ਗਿਆ ਸੀ ਅਤੇ ਇੱਕ ਮਹੀਨੇ ਬਾਅਦ ਫਰੂੰਡ ਦੁਆਰਾ, ਵਿਆਪਕ ਵੰਡ ਤੋਂ ਪਹਿਲਾਂ ਖੋਜਿਆ ਗਿਆ ਸੀ। ਕੋਲਿਨ, XZ Utils ਦੇ ਮੁੱਖ ਡਿਵੈਲਪਰ, ਮਾਮਲੇ ਦੀ ਜਾਂਚ ਕਰ ਰਹੇ ਹਨ। ਡੈਨ ਲੋਰੇਂਕ, ਇੱਕ ਸਾਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨ ਸੁਰੱਖਿਆ ਮਾਹਰ, ਨੇ 2022 ਵਿੱਚ ਇੱਕ ਪੋਡਕਾਸਟ ਵਿੱਚ ਅਜਿਹੇ ਲੰਬੇ ਸਮੇਂ ਦੇ ਹਮਲਿਆਂ ਦੀ ਚੇਤਾਵਨੀ ਦਿੱਤੀ ਸੀ, ਜਿਸ ਵਿੱਚ ਸੁਝਾਅ ਦਿੱਤਾ ਗਿਆ ਸੀ ਕਿ ਸਰਕਾਰੀ ਹੈਕਿੰਗ ਟੀਮਾਂ ਸ਼ਾਮਲ ਹੋ ਸਕਦੀਆਂ ਹਨ।
ਲੰਮਾ ਸਵਾਲ ਇਹ ਹੈ ਕਿ ਕੀ ਇਹੋ ਜਿਹੀਆਂ ਘਟਨਾਵਾਂ, ਸੰਭਵ ਤੌਰ 'ਤੇ ਇੱਕੋ ਜਾਂ ਵੱਖ-ਵੱਖ ਖਤਰੇ ਵਾਲੇ ਕਲਾਕਾਰਾਂ ਦੁਆਰਾ ਰਚੀਆਂ ਗਈਆਂ, ਭਵਿੱਖ ਵਿੱਚ ਸਾਹਮਣੇ ਆਉਣਗੀਆਂ। ਜਿਵੇਂ ਕਿ ਕੋਲਿਨ ਜਾਂਚ ਦੀ ਡੂੰਘਾਈ ਵਿੱਚ ਖੋਜ ਕਰਦਾ ਹੈ, XZ Utils ਬੈਕਡੋਰ ਦੀ ਸੀਮਾ ਅਤੇ ਪ੍ਰਭਾਵਾਂ 'ਤੇ ਰੌਸ਼ਨੀ ਪਾਉਂਦੇ ਹੋਏ, ਹੋਰ ਵੇਰਵਿਆਂ ਦੇ ਸਾਹਮਣੇ ਆਉਣ ਦੀ ਉਮੀਦ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।