Атака XZ Utils Backdoor Supply Chain виявила подібний інцидент уразливості багаторічної давності

Нещодавнє виявлення бекдору в XZ Utils сколихнуло спогади розробника F-Droid, сховища додатків для Android з відкритим кодом, про минулий інцидент. Супроводжувач PostgreSQL Андрес Фройнд наприкінці березня висловив тривогу про бекдор, знайдений у бібліотеці стиснення даних Liblzma (XZ Utils). Ця бібліотека широко використовується розробниками та попередньо встановлена в різних дистрибутивах Linux. Спочатку вважалося, що він дозволяє обходити автентифікацію SSH, подальше дослідження показало, що воно насправді полегшує віддалене виконання коду, позначене як уразливість CVE-2024-3094.

Атаки на ланцюги поставок на програмне забезпечення з відкритим кодом не є рідкістю, але те, що відрізняє цей інцидент, так це його очевидна тривалість протягом кількох років. Ганс-Крістоф Штайнер, супроводжуючий F-Droid, згадав подібну подію в 2020 році. У цьому випадку була зроблена спроба вставити вразливість SQL-ін’єкції, хоча її було зірвано. Подібність між двома інцидентами полягає в тому, що випадкові облікові записи намагаються включити шкідливий код.

Штайнер вважає, що спроба вставити вразливість була навмисною, враховуючи наступне видалення облікового запису автора. У справі XZ Utils бекдор був приписаний особі на ім’я Цзя Тан, або JiaT75, яка може бути вигаданою особою, створеною досвідченим загрозником. Участь Цзя Тана в проекті почалася нешкідливо в жовтні 2021 року, поступово збільшившись до значних внесків до середини 2023 року, потенційно в рамках підготовки до бекдору.

Зрештою бекдор був доданий у лютому 2024 року та виявлений через місяць Фройндом, до широкого розповсюдження. Коллін, головний розробник XZ Utils, проводить розслідування цього питання. Ден Лоренц, експерт із безпеки ланцюга поставок програмного забезпечення, попереджав про такі довгострокові атаки в подкасті в 2022 році, припускаючи, що до них можуть бути причетні урядові групи хакерів.

Залишається питання, чи будуть подібні інциденти, можливо організовані тими самими чи іншими загрозливими суб’єктами, виникати в майбутньому. Коли Коллін глибше заглиблюється в розслідування, очікується, що з’являться додаткові подробиці, які проллють світло на масштаби та наслідки бекдору XZ Utils.