Atacul din lanțul de aprovizionare din ușa din spate XZ Utils descoperă un incident similar de vulnerabilitate de cu ani în urmă

Dezvăluirea recentă a unei uși din spate în XZ Utils a trezit amintiri pentru un dezvoltator de la F-Droid, un depozit de aplicații Android open-source, despre un incident trecut. Menținătorul PostgreSQL, Andres Freund, a dat alarme cu privire la o ușă din spate găsită în biblioteca de compresie a datelor Liblzma (XZ Utils) la sfârșitul lunii martie. Această bibliotecă este utilizată pe scară largă de dezvoltatori și vine preinstalată în diferite distribuții Linux. Gândit inițial să permită ocolirea autentificării SSH, o analiză suplimentară a arătat că de fapt a facilitat execuția de cod de la distanță, desemnată drept vulnerabilitatea CVE-2024-3094.

Atacurile lanțului de aprovizionare asupra software-ului open-source nu sunt neobișnuite, dar ceea ce diferențiază acest incident este durata aparentă a acestuia de mai mulți ani. Hans-Christoph Steiner, un întreținător F-Droid, și-a amintit un eveniment similar în 2020. În acel caz, s-a încercat să insereze o vulnerabilitate de injectare SQL, deși a fost dejucat. Asemănarea dintre cele două incidente constă în presiunea exercitată de conturile aleatorii pentru a include coduri rău intenționate.

Steiner consideră că încercarea de a introduce vulnerabilitatea a fost intenționată, având în vedere ștergerea ulterioară a contului celui care trimite. În cazul XZ Utils, ușa din spate a fost atribuită unei persoane pe nume Jia Tan, sau JiaT75, care poate fi o identitate fictivă creată de un actor de amenințări sofisticat. Implicarea lui Jia Tan în proiect a început inofensiv în octombrie 2021, crescând treptat la contribuții semnificative până la jumătatea anului 2023, potențial în pregătirea pentru ușa din spate.

Ușa din spate a fost adăugată în cele din urmă în februarie 2024 și descoperită o lună mai târziu de Freund, înainte de distribuirea pe scară largă. Collin, principalul dezvoltator al XZ Utils, desfășoară o investigație în acest caz. Dan Lorenc, un expert în securitatea lanțului de aprovizionare cu software, a avertizat despre astfel de atacuri pe termen lung într-un podcast din 2022, sugerând că ar putea fi implicate echipe guvernamentale de hacking.

Întrebarea persistentă este dacă incidente similare, eventual orchestrate de aceiași actori de amenințare sau diferiți, vor apărea în viitor. Pe măsură ce Collin aprofundează investigația, se așteaptă să apară mai multe detalii, aruncând lumină asupra amplorii și implicațiilor ușii din spate XZ Utils.