XZ Utils Backdoor Supply Chain Attack avslöjar liknande sårbarhetsincident från flera år sedan

Den senaste avslöjandet av en bakdörr i XZ Utils har väckt minnen för en utvecklare på F-Droid, ett förråd för Android-appar med öppen källkod, av en tidigare incident. PostgreSQL-underhållaren Andres Freund larmade om en bakdörr som hittades i Liblzma (XZ Utils) datakomprimeringsbibliotek i slutet av mars. Detta bibliotek används flitigt av utvecklare och kommer förinstallerat i olika Linux-distributioner. Ursprungligen tänkt att möjliggöra förbigående av SSH-autentisering, ytterligare granskning avslöjade att det faktiskt underlättade fjärrkörning av kod, betecknad som CVE-2024-3094-sårbarheten.

Supply chain attacker på öppen källkod är inte ovanliga, men det som skiljer denna incident är dess uppenbara varaktighet över flera år. Hans-Christoph Steiner, en F-Droid-underhållare, påminde om en liknande händelse 2020. I det fallet gjordes ett försök att infoga en SQL-injektionssårbarhet, även om den omintetgjordes. Likheten mellan de två incidenterna ligger i det tryck som utövas av slumpmässiga konton för att inkludera skadlig kod.

Steiner tror att försöket att sätta in sårbarheten var avsiktligt, med tanke på den efterföljande raderingen av insändarens konto. I XZ Utils-fallet tillskrevs bakdörren till en person som heter Jia Tan, eller JiaT75, som kan vara en fiktiv identitet skapad av en sofistikerad hotaktör. Jia Tans engagemang i projektet började ofarligt i oktober 2021, gradvis eskalerade till betydande bidrag i mitten av 2023, potentiellt som en förberedelse för bakdörren.

Bakdörren lades så småningom till i februari 2024 och upptäcktes en månad senare av Freund, innan den spreds. Collin, XZ Utils huvudutvecklare, håller på att undersöka saken. Dan Lorenc, en säkerhetsexpert för mjukvaruförsörjningskedjan, varnade för sådana långvariga attacker i en podcast 2022, vilket tyder på att statliga hackningsteam kan vara inblandade.

Den kvarstående frågan är om liknande incidenter, eventuellt orkestrerade av samma eller olika hotaktörer, kommer att dyka upp i framtiden. När Collin går djupare in i utredningen förväntas fler detaljer dyka upp, vilket belyser omfattningen och konsekvenserna av XZ Utils bakdörr.