XZ Utils Backdoor Napad na dobavno verigo odkrije podoben incident ranljivosti izpred let

Nedavno razkritje stranskih vrat v XZ Utils je razvijalcu pri F-Droidu, odprtokodnem skladišču aplikacij za Android, obudilo spomine na pretekli incident. Vzdrževalec PostgreSQL Andres Freund je konec marca sprožil alarm glede stranskih vrat, najdenih v knjižnici za stiskanje podatkov Liblzma (XZ Utils). To knjižnico v veliki meri uporabljajo razvijalci in je vnaprej nameščena v različnih distribucijah Linuxa. Sprva se je mislilo, da omogoča izogibanje avtentikaciji SSH, nadaljnji pregled pa je pokazal, da dejansko olajša oddaljeno izvajanje kode, označeno kot ranljivost CVE-2024-3094.

Napadi v dobavni verigi na odprtokodno programsko opremo niso neobičajni, toda tisto, kar ločuje ta incident, je njegovo očitno trajanje več let. Hans-Christoph Steiner, vzdrževalec F-Droid, se je spomnil podobnega dogodka leta 2020. V tem primeru je bil narejen poskus vstavitve ranljivosti vbrizgavanja SQL, vendar je bil onemogočen. Podobnost med obema incidentoma je v pritisku, ki ga izvajajo naključni računi, da vključijo zlonamerno kodo.

Steiner meni, da je bil poskus vstavitve ranljivosti nameren, glede na poznejši izbris pošiljateljevega računa. V primeru XZ Utils so bila zadnja vrata pripisana posamezniku z imenom Jia Tan ali JiaT75, ki je lahko izmišljena identiteta, ki jo je ustvaril prefinjen akter grožnje. Sodelovanje Jia Tana v projektu se je neškodljivo začelo oktobra 2021 in se postopoma stopnjevalo do znatnih prispevkov do sredine leta 2023, morda kot priprava na stranska vrata.

Zadnja vrata so bila sčasoma dodana februarja 2024, mesec dni kasneje pa jih je odkril Freund, preden je bila razširjena. Collin, glavni razvijalec XZ Utils, vodi preiskavo zadeve. Dan Lorenc, strokovnjak za varnost dobavne verige programske opreme, je leta 2022 v podcastu opozoril na takšne dolgotrajne napade in nakazal, da so morda vpletene vladne hekerske ekipe.

Vztrajno vprašanje je, ali se bodo podobni incidenti, ki jih morda orkestrirajo isti ali različni akterji groženj, pojavili v prihodnosti. Ko se bo Collin poglobil v preiskavo, naj bi se pojavilo več podrobnosti, ki bodo osvetlile obseg in posledice zakulisnih vrat XZ Utils.