Sulmi i zinxhirit të furnizimit me dyer të pasme XZ Utils zbulon një incident të ngjashëm cenueshmërie nga vite më parë

Zbulimi i fundit i një dere të pasme në XZ Utils ka ngjallur kujtime për një zhvillues në F-Droid, një depo e aplikacioneve Android me burim të hapur, për një incident të kaluar. Mirëmbajtësi i PostgreSQL, Andres Freund, ngriti alarmet për një derë të pasme të gjetur në bibliotekën e kompresimit të të dhënave Liblzma (XZ Utils) në fund të marsit. Kjo bibliotekë përdoret gjerësisht nga zhvilluesit dhe vjen e para-instaluar në shpërndarje të ndryshme Linux. Fillimisht u mendua të mundësonte anashkalimin e vërtetimit SSH, shqyrtimi i mëtejshëm zbuloi se ai në të vërtetë lehtësonte ekzekutimin e kodit në distancë, i përcaktuar si cenueshmëria CVE-2024-3094.

Sulmet e zinxhirit të furnizimit ndaj softuerit me burim të hapur nuk janë të rralla, por ajo që e veçon këtë incident është kohëzgjatja e tij e dukshme për disa vite. Hans-Christoph Steiner, një mirëmbajtës i F-Droid, kujtoi një ngjarje të ngjashme në vitin 2020. Në atë shembull, u bë një përpjekje për të futur një cenueshmëri të injektimit SQL, megjithëse u pengua. Ngjashmëria midis dy incidenteve qëndron në presionin e aplikuar nga llogaritë e rastësishme për të përfshirë kodin me qëllim të keq.

Steiner beson se përpjekja për të futur cenueshmërinë ishte e qëllimshme, duke pasur parasysh fshirjen e mëvonshme të llogarisë së paraqitësit. Në rastin XZ Utils, dera e pasme i atribuohej një individi të quajtur Jia Tan, ose JiaT75, i cili mund të jetë një identitet fiktiv i krijuar nga një aktor i sofistikuar kërcënimi. Përfshirja e Jia Tan në projekt filloi në mënyrë të padëmshme në tetor 2021, duke u përshkallëzuar gradualisht në kontribute të rëndësishme nga mesi i vitit 2023, potencialisht në përgatitje për derën e pasme.

Dera e pasme u shtua përfundimisht në shkurt 2024 dhe u zbulua një muaj më vonë nga Freund, përpara shpërndarjes së gjerë. Collin, zhvilluesi kryesor i XZ Utils, po kryen një hetim për këtë çështje. Dan Lorenc, një ekspert i sigurisë së zinxhirit të furnizimit me softuer, paralajmëroi për sulme të tilla afatgjata në një podcast në vitin 2022, duke sugjeruar se mund të përfshihen ekipet e hakerave të qeverisë.

Pyetja e vazhdueshme është nëse incidente të ngjashme, ndoshta të orkestruara nga të njëjtët apo aktorë të ndryshëm kërcënimi, do të shfaqen në të ardhmen. Ndërsa Collin thellohet në hetim, pritet të dalin më shumë detaje, duke hedhur dritë mbi shtrirjen dhe implikimet e derës së pasme të XZ Utils.