xz backdoor: 5 Lessen
13 apr 2024
Ingenieurswetenschappen
CVE-2024–3094 — ook bekend als xz-backdoor of xz-trojan — is de meest zorgwekkende aanval op de softwareleveringsketen tot nu toe.
Een ontwikkelaar die zich Jia Tan (Github JiaT75) noemt, gebruikte sociale-engineeringtechnieken om het open-source Tukaani-project binnen te komen en verdiende het vertrouwen van de gemeenschap in de daaropvolgende jaren.
Jia verwierf uiteindelijk de onderhoudersstatus voor het XZ-Utils project.
Uiteindelijk gebruikte Jia zijn status om slimme obfuscatie in de broncode en binaire bestanden te implementeren om een backdoor te creëren in XZ-Utils versies 5.6.0 en 5.6.1. Als het onontdekt was gebleven tot de integratie met belangrijke distributies, zouden miljoenen Debian- en Red Hat-releases getroffen kunnen zijn.
Een goed geschreven tijdlijn van gebeurtenissen is hier gepubliceerd.