XZ Utils Backdoor Supply Chain Attack odhaľuje podobný incident so zraniteľnosťou spred rokov

Nedávne odhalenie zadných dvierok v XZ Utils vyvolalo spomienky vývojára z F-Droid, open-source úložiska aplikácií pre Android, na minulý incident. Správca PostgreSQL Andres Freund koncom marca upozornil na zadné vrátka nájdené v knižnici na kompresiu údajov Liblzma (XZ Utils). Túto knižnicu vo veľkej miere používajú vývojári a je predinštalovaná v rôznych distribúciách Linuxu. Pôvodne sa myslelo, že umožňuje obídenie autentifikácie SSH, ďalšie skúmanie odhalilo, že to v skutočnosti uľahčilo vzdialené spustenie kódu, označené ako zraniteľnosť CVE-2024-3094.

Útoky dodávateľského reťazca na softvér s otvoreným zdrojovým kódom nie sú nezvyčajné, ale to, čo odlišuje tento incident, je jeho zjavné trvanie počas niekoľkých rokov. Hans-Christoph Steiner, správca F-Droidov, si pripomenul podobnú udalosť v roku 2020. V tomto prípade bol urobený pokus o vloženie zraniteľnosti SQL injekcie, hoci bol zmarený. Podobnosť medzi týmito dvoma incidentmi spočíva v tlaku náhodných účtov na začlenenie škodlivého kódu.

Steiner sa domnieva, že pokus o vloženie zraniteľnosti bol zámerný vzhľadom na následné vymazanie účtu predkladateľa. V prípade XZ Utils boli zadné vrátka pripísané jednotlivcovi menom Jia Tan alebo JiaT75, čo môže byť fiktívna identita vytvorená sofistikovaným aktérom hrozby. Zapojenie Jia Tana do projektu sa začalo neškodne v októbri 2021 a postupne eskalovalo na významné príspevky do polovice roku 2023, potenciálne v rámci prípravy na zadné vrátka.

Zadné vrátka boli nakoniec pridané vo februári 2024 a objavil ich o mesiac neskôr Freund, ešte pred rozšírením. Collin, hlavný vývojár XZ Utils, vedie vyšetrovanie tejto záležitosti. Dan Lorenc, odborník na bezpečnosť dodávateľského reťazca softvéru, varoval pred takýmito dlhodobými útokmi v podcaste v roku 2022, čo naznačuje, že by do toho mohli byť zapojené vládne hackerské tímy.

Pretrvávajúcou otázkou je, či sa podobné incidenty, pravdepodobne organizované tými istými alebo rôznymi aktérmi hrozby, objavia v budúcnosti. Keď sa Collin ponorí hlbšie do vyšetrovania, očakáva sa, že sa objavia ďalšie podrobnosti, ktoré osvetlia rozsah a dôsledky zadného vrátka XZ Utils.