Um Ataque de Backdoor ao XZ Utils Supply Chain Revela Incidente de Vulnerabilidade Semelhante Ocorrido Anos Atrás

A recente revelação de um backdoor no XZ Utils despertou memórias de um desenvolvedor do F-Droid, um repositório de aplicativos Android de código aberto, de um incidente passado. O mantenedor do PostgreSQL, Andres Freund, levantou alarmes sobre um backdoor encontrado na biblioteca de compactação de dados Liblzma (XZ Utils) no final de março. Esta biblioteca é amplamente utilizada por desenvolvedores e vem pré-instalada em várias distribuições Linux. Inicialmente pensado para permitir o desvio da autenticação SSH, um exame mais aprofundado revelou que na verdade facilitou a execução remota de código, designada como vulnerabilidade CVE-2024-3094.

Os ataques à cadeia de abastecimento contra software de código aberto não são incomuns, mas o que diferencia este incidente é a sua aparente duração de vários anos. Hans-Christoph Steiner, mantenedor do F-Droid, relembrou um evento semelhante em 2020. Nesse caso, foi feita uma tentativa de inserir uma vulnerabilidade de injeção de SQL, embora tenha sido frustrada. A semelhança entre os dois incidentes reside na pressão aplicada por contas aleatórias para incluir código malicioso.

Steiner acredita que a tentativa de inserir a vulnerabilidade foi intencional, dada a posterior exclusão da conta do remetente. No caso XZ Utils, o backdoor foi atribuído a um indivíduo chamado Jia Tan, ou JiaT75, que pode ser uma identidade fictícia criada por um sofisticado ator de ameaça. O envolvimento de Jia Tan no projeto começou de forma inócua em outubro de 2021, aumentando gradualmente para contribuições significativas em meados de 2023, potencialmente em preparação para a porta dos fundos.

O backdoor foi finalmente adicionado em fevereiro de 2024 e descoberto um mês depois por Freund, antes da distribuição generalizada. Collin, o principal desenvolvedor do XZ Utils, está conduzindo uma investigação sobre o assunto. Dan Lorenc, especialista em segurança da cadeia de fornecimento de software, alertou sobre esses ataques de longo prazo em um podcast em 2022, sugerindo que equipes de hackers governamentais poderiam estar envolvidas.

A questão persistente é se incidentes semelhantes, possivelmente orquestrados pelos mesmos ou por diferentes atores de ameaças, surgirão no futuro. À medida que Collin se aprofunda na investigação, espera-se que mais detalhes surjam, lançando luz sobre a extensão e as implicações do backdoor do XZ Utils.

Um Ataque de Backdoor ao XZ Utils Supply Chain Revela Incidente de Vulnerabilidade Semelhante Ocorrido Anos Atrás capturas de tela