Multi-License Discount Quote
Computer Security XZ ใช้การโจมตีห่วงโซ่อุปทานแบบลับๆ...

XZ ใช้การโจมตีห่วงโซ่อุปทานแบบลับๆ เผยเหตุการณ์ช่องโหว่ที่คล้ายกันเมื่อหลายปีก่อน

โดย Mura ใน Computer Security
แปลเป็น:
ภาษาไทย

การเปิดเผยล่าสุดของ แบ็คดอร์ใน XZ Utils ได้ปลุกความทรงจำของนักพัฒนาที่ F-Droid ซึ่งเป็นแหล่งเก็บข้อมูลแอป Android แบบโอเพ่นซอร์สถึงเหตุการณ์ในอดีต Andres Freund ผู้ดูแล PostgreSQL แจ้งเตือนเกี่ยวกับประตูหลังที่พบในไลบรารีการบีบอัดข้อมูล Liblzma (XZ Utils) เมื่อปลายเดือนมีนาคม ไลบรารีนี้ถูกใช้อย่างกว้างขวางโดยนักพัฒนาและติดตั้งมาล่วงหน้าในลีนุกซ์รุ่นต่างๆ ในตอนแรกคิดว่าจะเปิดใช้งานการเลี่ยงการรับรองความถูกต้อง SSH การตรวจสอบเพิ่มเติมเผยให้เห็นว่าจริง ๆ แล้วอำนวยความสะดวกในการเรียกใช้โค้ดจากระยะไกล ซึ่งถูกกำหนดให้เป็นช่องโหว่ CVE-2024-3094

การโจมตีห่วงโซ่อุปทานในซอฟต์แวร์โอเพ่นซอร์สไม่ใช่เรื่องแปลก แต่สิ่งที่ทำให้เหตุการณ์นี้แตกต่างออกไปคือระยะเวลาที่เห็นได้ชัดในช่วงหลายปีที่ผ่านมา Hans-Christoph Steiner ผู้ดูแล F-Droid เล่าถึงเหตุการณ์ที่คล้ายกันในปี 2020 ในกรณีดังกล่าว มีการพยายามแทรกช่องโหว่การฉีด SQL แม้ว่าจะถูกขัดขวางก็ตาม ความคล้ายคลึงกันระหว่างเหตุการณ์ทั้งสองนั้นอยู่ที่ความกดดันที่บัญชีสุ่มใช้ให้รวมโค้ดที่เป็นอันตราย

Steiner เชื่อว่าความพยายามที่จะแทรกช่องโหว่นั้นเกิดขึ้นโดยเจตนา เนื่องจากภายหลังมีการลบบัญชีของผู้ส่ง ในกรณี XZ Utils ประตูหลังนั้นเกิดจากบุคคลที่ชื่อ Jia Tan หรือ JiaT75 ซึ่งอาจเป็นตัวตนสมมติที่สร้างขึ้นโดยผู้คุกคามที่มีความซับซ้อน การมีส่วนร่วมของ Jia Tan ในโครงการนี้เริ่มต้นอย่างไร้อันตรายในเดือนตุลาคม 2564 และค่อยๆ เพิ่มขึ้นไปสู่การมีส่วนร่วมที่สำคัญภายในกลางปี 2566 ซึ่งอาจเป็นการเตรียมพร้อมสำหรับการโจมตีแบบลับๆ

ในที่สุดประตูหลังก็ถูกเพิ่มเข้ามาในเดือนกุมภาพันธ์ พ.ศ. 2567 และค้นพบในอีกหนึ่งเดือนต่อมาโดยฟรอยด์ ก่อนที่จะเผยแพร่อย่างแพร่หลาย Collin ผู้พัฒนาหลักของ XZ Utils กำลังดำเนินการสอบสวนเรื่องนี้ Dan Lorenc ผู้เชี่ยวชาญด้านความปลอดภัยในห่วงโซ่อุปทานซอฟต์แวร์ เตือนถึงการโจมตีระยะยาวเช่นนี้ในพอดแคสต์ในปี 2022 โดยแนะนำว่าทีมแฮ็กของรัฐบาลอาจมีส่วนเกี่ยวข้อง

คำถามที่ยังคงอยู่คือเหตุการณ์ที่คล้ายกันซึ่งอาจถูกจัดเตรียมโดยผู้ก่อภัยคุกคามคนเดียวกันหรือต่างกัน จะเกิดขึ้นในอนาคตหรือไม่ ขณะที่ Collin เจาะลึกเข้าไปในการสืบสวน ก็คาดว่าจะมีรายละเอียดเพิ่มเติมมากขึ้น ซึ่งให้ความกระจ่างเกี่ยวกับขอบเขตและผลกระทบของแบ็คดอร์ XZ Utils

กำลังโหลด...