КСЗ Утилс Бацкдоор напад на ланац снабдевања открива сличан инцидент рањивости од пре много година

Недавно откриће бацкдоор-а у КСЗ Утилс- у узбуркало је сећања програмера у Ф-Дроид-у, складишту Андроид апликација отвореног кода, на прошли инцидент. ПостгреСКЛ одржаватељ Андрес Фреунд подигао је аларм због бацкдоор-а пронађеног у библиотеци компресије података Либлзма (КСЗ Утилс) крајем марта. Ову библиотеку увелико користе програмери и долази унапред инсталирана у различитим дистрибуцијама Линука. Првобитно се сматрало да омогућава заобилажење ССХ аутентикације, даље испитивање је открило да је заправо олакшало даљинско извршавање кода, означено као рањивост ЦВЕ-2024-3094.

Напади ланца снабдевања на софтвер отвореног кода нису неуобичајени, али оно што издваја овај инцидент је његово очигледно трајање током неколико година. Ханс-Цхристопх Стеинер, одржавалац Ф-Дроида, присетио се сличног догађаја 2020. У том случају је учињен покушај да се убаци рањивост СКЛ ињекције, иако је то осујећено. Сличност између ова два инцидента лежи у притиску који врше насумични налози да укључе злонамерни код.

Штајнер верује да је покушај убацивања рањивости био намеран, с обзиром на накнадно брисање налога подносиоца. У случају КСЗ Утилс, бацкдоор је приписан појединцу по имену Јиа Тан, или ЈиаТ75, који би могао бити измишљени идентитет који је креирао софистицирани актер претње. Учешће Јиа Тана у пројекту почело је безазлено у октобру 2021., постепено ескалирајући до значајног доприноса до средине 2023., потенцијално у припреми за бацкдоор.

Задња врата је на крају додата у фебруару 2024. и откривена је месец дана касније од стране Фројнда, пре широко распрострањене дистрибуције. Цоллин, главни програмер КСЗ Утилс-а, води истрагу о овом питању. Дан Лоренц, стручњак за сигурност ланца набавке софтвера, упозорио је на такве дугорочне нападе у подкасту 2022. године, сугерирајући да би владини хакерски тимови могли бити укључени.

Дуготрајно питање је да ли ће се слични инциденти, можда оркестрирани од истих или различитих актера претњи, појавити у будућности. Како Колин улази дубље у истрагу, очекује се да ће се појавити више детаља, који ће расветлити обим и импликације КСЗ Утилс бацкдоор-а.