XZ Utils Arka Kapı Tedarik Zinciri Saldırısı, Yıllar Önceki Benzer Güvenlik Açığı Olayını Ortaya Çıkardı

XZ Utils'teki bir arka kapının yakın zamanda ortaya çıkması, açık kaynaklı bir Android uygulama deposu olan F-Droid'deki bir geliştiricinin geçmişteki bir olayla ilgili anılarını canlandırdı. PostgreSQL sorumlusu Andres Freund, Mart ayının sonunda Liblzma (XZ Utils) veri sıkıştırma kütüphanesinde bulunan bir arka kapı hakkında alarma geçti. Bu kitaplık, geliştiriciler tarafından yaygın olarak kullanılır ve çeşitli Linux dağıtımlarına önceden yüklenmiş olarak gelir. Başlangıçta SSH kimlik doğrulamasını atlamayı mümkün kıldığı düşünülüyordu, daha sonra yapılan incelemeler bunun aslında CVE-2024-3094 güvenlik açığı olarak tanımlanan uzaktan kod yürütmeyi kolaylaştırdığını ortaya çıkardı.

Açık kaynak yazılımlara yönelik tedarik zinciri saldırıları nadir değildir, ancak bu olayı farklı kılan şey, görünürde birkaç yıl sürmesidir. F-Droid bakımcısı Hans-Christoph Steiner, 2020'deki benzer bir olayı hatırladı. Bu örnekte, bir SQL enjeksiyon güvenlik açığı ekleme girişiminde bulunuldu, ancak bu girişim engellendi. İki olay arasındaki benzerlik, rastgele hesapların kötü amaçlı kod içermesi yönünde uyguladığı baskıda yatmaktadır.

Steiner, gönderenin hesabının daha sonra silinmesi göz önüne alındığında, güvenlik açığını ekleme girişiminin kasıtlı olduğuna inanıyor. XZ Utils davasında arka kapı, karmaşık bir tehdit aktörü tarafından oluşturulan hayali bir kimlik olabilecek Jia Tan veya JiaT75 adlı bir kişiye atfedildi. Jia Tan'ın projeye katılımı Ekim 2021'de zararsız bir şekilde başladı ve potansiyel olarak arka kapıya hazırlık olarak 2023'ün ortalarına doğru kademeli olarak önemli katkılara ulaştı.

Arka kapı sonunda Şubat 2024'te eklendi ve bir ay sonra Freund tarafından, yaygın dağıtımdan önce keşfedildi. XZ Utils'in ana geliştiricisi Collin, konuyla ilgili bir soruşturma yürütüyor. Yazılım tedarik zinciri güvenliği uzmanı Dan Lorenc, 2022'deki bir podcast'te bu tür uzun vadeli saldırılar konusunda uyardı ve hükümetin bilgisayar korsanlığı ekiplerinin olaya karışabileceğini öne sürdü.

Akıllarda kalan soru, muhtemelen aynı veya farklı tehdit aktörleri tarafından düzenlenen benzer olayların gelecekte de ortaya çıkıp çıkmayacağıdır. Collin soruşturmayı derinleştirdikçe, XZ Utils'in arka kapısının boyutuna ve sonuçlarına ışık tutacak daha fazla ayrıntının ortaya çıkması bekleniyor.