XZ wykorzystuje atak backdoor na łańcuch dostaw i odkrywa podobną lukę w zabezpieczeniach, która miała miejsce wiele lat temu

Niedawne odkrycie backdoora w XZ Utils pobudziło programistę z F-Droid, repozytorium aplikacji na Androida typu open source, do wspomnień z przeszłego incydentu. Opiekun PostgreSQL, Andres Freund, podniósł alarm w związku z wykryciem pod koniec marca backdoora w bibliotece kompresji danych Liblzma (XZ Utils). Ta biblioteka jest szeroko używana przez programistów i jest preinstalowana w różnych dystrybucjach Linuksa. Początkowo sądzono, że umożliwia ominięcie uwierzytelniania SSH, dalsza analiza wykazała, że w rzeczywistości ułatwia zdalne wykonanie kodu, co jest oznaczone jako luka CVE-2024-3094.

Ataki na łańcuch dostaw na oprogramowanie typu open source nie są rzadkością, ale tym, co wyróżnia ten incydent, jest jego pozorny czas trwania wynoszący kilka lat. Hans-Christoph Steiner, opiekun F-Droida, wspomina podobne wydarzenie z 2020 roku. W tym przypadku podjęto próbę wstawienia luki umożliwiającej wstrzykiwanie SQL, jednak została ona udaremniona. Podobieństwo między tymi dwoma incydentami polega na presji wywieranej przez losowe konta, aby uwzględnić złośliwy kod.

Steiner uważa, że próba umieszczenia luki była zamierzona, biorąc pod uwagę późniejsze usunięcie konta osoby zgłaszającej. W przypadku XZ Utils backdoora przypisano osobie o imieniu Jia Tan lub JiaT75, która może być fikcyjną tożsamością stworzoną przez wyrafinowanego ugrupowania zagrażającego. Zaangażowanie Jia Tan w projekt rozpoczęło się niewinnie w październiku 2021 r. i stopniowo narastało, osiągając znaczący wkład do połowy 2023 r., potencjalnie w ramach przygotowań do wykorzystania backdoora.

Backdoor został ostatecznie dodany w lutym 2024 r. i odkryty miesiąc później przez Freunda, zanim został szeroko rozpowszechniony. Collin, główny deweloper XZ Utils, prowadzi dochodzenie w tej sprawie. Dan Lorenc, ekspert ds. bezpieczeństwa łańcucha dostaw oprogramowania, ostrzegł przed takimi długotrwałymi atakami w podcaście z 2022 r., sugerując, że mogą być w to zaangażowane rządowe zespoły hakerskie.

Pozostaje pytanie, czy podobne incydenty, prawdopodobnie zaaranżowane przez tych samych lub różnych cyberprzestępców, pojawią się w przyszłości. W miarę jak Collin zagłębia się w dochodzenie, oczekuje się, że ujawnionych zostanie więcej szczegółów, które rzucą światło na zakres i konsekwencje backdoora XZ Utils.