Natuklasan ng XZ Uils Backdoor Supply Chain Attack ang Katulad na Pangyayari sa Pagkakahinaan Mula sa Nakaraan Mga Taon

Ang kamakailang paghahayag ng isang backdoor sa XZ Utils ay pumukaw sa mga alaala para sa isang developer sa F-Droid, isang open-source na Android app repository, ng isang nakaraang insidente. Ang postgreSQL maintainer na si Andres Freund ay nagtaas ng mga alarma tungkol sa isang backdoor na natagpuan sa Liblzma (XZ Utils) data compression library sa katapusan ng Marso. Ang library na ito ay malawakang ginagamit ng mga developer at paunang naka-install sa iba't ibang distribusyon ng Linux. Sa una ay naisip na paganahin ang pag-bypass sa pagpapatotoo ng SSH, ipinakita ng karagdagang pagsusuri na talagang pinadali nito ang pagpapatupad ng remote code, na itinalaga bilang kahinaan ng CVE-2024-3094.

Ang mga pag-atake ng supply chain sa open-source na software ay hindi karaniwan, ngunit ang pinagkaiba ng insidenteng ito ay ang maliwanag na tagal nito sa loob ng ilang taon. Naalala ni Hans-Christoph Steiner, isang tagapangasiwa ng F-Droid, ang isang katulad na kaganapan noong 2020. Sa pagkakataong iyon, sinubukang ipasok ang kahinaan ng SQL injection, bagama't napigilan ito. Ang pagkakatulad sa pagitan ng dalawang insidente ay nakasalalay sa pressure na inilapat ng mga random na account upang isama ang malisyosong code.

Naniniwala si Steiner na sinadya ang pagtatangkang ipasok ang kahinaan, dahil sa kasunod na pagtanggal ng account ng nagsumite. Sa kaso ng XZ Utils, ang backdoor ay iniuugnay sa isang indibidwal na nagngangalang Jia Tan, o JiaT75, na maaaring isang kathang-isip na pagkakakilanlan na nilikha ng isang sopistikadong aktor ng pagbabanta. Ang paglahok ni Jia Tan sa proyekto ay nagsimula nang hindi nakapipinsala noong Oktubre 2021, unti-unting tumataas sa malalaking kontribusyon sa kalagitnaan ng 2023, na posibleng bilang paghahanda para sa backdoor.

Ang backdoor ay naidagdag sa kalaunan noong Pebrero 2024 at natuklasan ng Freund pagkaraan ng isang buwan, bago ang malawakang pamamahagi. Si Collin, ang pangunahing developer ng XZ Utils, ay nagsasagawa ng pagsisiyasat sa bagay na ito. Si Dan Lorenc, isang dalubhasa sa seguridad ng supply chain ng software, ay nagbabala tungkol sa mga pangmatagalang pag-atake sa isang podcast noong 2022, na nagmumungkahi na maaaring kasangkot ang mga pangkat ng pag-hack ng gobyerno.

Ang matagal na tanong ay kung ang mga katulad na insidente, na posibleng isinaayos ng pareho o ibang mga aktor ng pagbabanta, ay lalabas sa hinaharap. Habang mas malalim ang pagsisiyasat ni Collin sa imbestigasyon, inaasahang lalabas ang higit pang mga detalye, na nagbibigay-liwanag sa lawak at mga implikasyon ng backdoor ng XZ Utils.