Uit een recente analyse is gebleken dat de kwaadaardige code is ingebed in de veelgebruikte open-sourcebibliotheek XZ Utils (aanwezig in meerdere Linux-distributies) kan inschakelen uitvoering van externe code. Het aanvalsscenario is gebaseerd op de kritieke kwetsbaarheid CVE-2024-3094.
CVE-2024-3094 Uitleg
Dit compromis, geïdentificeerd als CVE-2024-3094 met een CVSS-score van 10.0, werd aan het licht gebracht door Microsoft-ingenieur en PostgreSQL-ontwikkelaar Andres Freund. Freund merkte een ongewoon hoog CPU-gebruik op door sshd-processen tijdens systeembenchmarking, wat leidde tot de ontdekking van een achterdeur in het XZ Utils-hulpprogramma voor gegevenscompressie. Deze achterdeur maakt het voor externe aanvallers mogelijk om beveiligde shell-authenticatie te omzeilen en volledige toegang te verkrijgen tot getroffen systemen.
De kwaadaardige achterdeurcode werd opzettelijk geïntroduceerd door een van de projectbeheerders, Jia Tan (ook bekend als Jia Cheong Tan of JiaT75), in een geplande aanval die meerdere jaren duurde. Het GitHub account dat aan deze activiteit is gekoppeld, is aangemaakt in 2021, maar de identiteit van de acteur(s) blijft onbekend. Volgens rapporten, de dreigingsacteur kreeg gedurende bijna twee jaar geloofwaardigheid binnen het XZ-project voordat hij de verantwoordelijkheden als beheerder kreeg.
De aanvaller gebruikte sockpuppet-accounts zoals Jigar Kumar en Dennis Ens om functieverzoeken in te dienen en problemen te melden, het onder druk zetten van de oorspronkelijke onderhouder, Lasse Collin van het Tukaani-project, om een nieuwe mede-onderhouder aan de repository toe te voegen. Jia Tan heeft wijzigingen aangebracht in XZ Utils in 2023, leidend tot de release van de versie 5.6.0 in februari 2024, inclusief een geavanceerde achterdeur.
Collin erkende de inbreuk en bevestigde dat de gecompromitteerde release-tarballs waren gemaakt en ondertekend door Jia Tan, die toegang had tot de nu uitgeschakelde GitHub-repository. Deze supply chain-aanval getuigt van aanzienlijke verfijning en meerjarenplanning, waarschijnlijk indicatief voor door de staat gesponsorde activiteiten.
Een diepere analyse van de achterdeur onthulde dat specifieke aanvallers op afstand willekeurige ladingen via een SSH-certificaat kunnen verzenden, waardoor ze opdrachten kunnen uitvoeren en controle kunnen krijgen over de machine van het slachtoffer. Deze achterdeur vormt een aanzienlijk risico voor machines met kwetsbare XZ Utils-pakketten die aan internet worden blootgesteld.
De toevallige ontdekking van de achterdeur door Freund onderstreept de ernst van deze supply chain-aanval, wat tot een groot beveiligingsincident had kunnen leiden als het was geïntegreerd in stabiele releases van Linux-distributies. Dit incident onderstreept het belang van het adopteren van tools en processen om manipulatie en kwaadaardige functies in zowel open source als commerciële software te identificeren.