A világot fenyegető sebezhetőség, ami csak egy véletlen felfedezés miatt nem okozott katasztrófát

Egy véletlen felfedezésnek köszönhetően került el a világ egy olyan kibertámadástól, amely a SolarWinds eseténél is nagyobb károkat okozhatott volna. A Microsoft egyik programozója, Andres Freund egy rendszer tesztelése során vette észre, hogy a távoli eléréshez használt protokoll fél másodperccel lassabban fut le, ami végül egy komoly sebezhetőség felfedezéséhez vezetett.

Freund felfedezése arra világított rá, hogy az xz Utils nevű fájltömörítő szoftvercsomagba egy hátsó bejárat került, amely lehetővé tette volna a támadók számára, hogy átvegyék a számítógépek felett az irányítást. Ez a sebezhetőség azért volt különösen veszélyes, mert az xz Utils széles körben használt a Linux és más Unix-szerű operációs rendszereken, és még a Kali Linux stabil verziójában is jelen volt két napig. A Debian bétaverzióját futtató rendszeren történt tesztelés során Freund arra lett figyelmes, hogy az SSH-csatlakozások a szokásosnál több erőforrást használtak, és lassabban futottak le, ami végül a sebezhetőség felfedezéséhez vezetett. A stabil verziókba azonban, egy kivételtől eltekintve, nem került be a megbuherált xz Utils.

A sebezhetőség mögött álló személy vagy csoport kilétét illetően csak találgatások vannak. Jia Tan, az xz Utils egyik fő fejlesztője, aki 2021-ben kezdett el aktívan részt venni a projektben, állhat a háttérben. Jia Tan először egy másik nyílt forráskódú projekthez készített frissítést, majd az xz Utilitieshez is hozzájárult, és fokozatosan bekerült a projektbe. Ezt követően 2024. február 23-án helyezte el a sebezhetőség kódját egy tesztfájlokkal teli könyvtárban, és nyomást gyakorolt a Red Hat és a Debian fejlesztőire, hogy az új verziót vegyék fel az operációs rendszer stabil változatába.

A kiberbiztonsági szakértők szerint lehetséges, hogy egy államilag szponzorált hekkercsoport áll a Jia Tan név mögött, és a gyanúk szerint Oroszország, Kína vagy Észak-Korea lehet a felelős. A kínai időzónából érkező frissítések és a kínai nemzeti ünnepeken végzett munka ellenére a szakértők szerint valószínűbb, hogy az orosz Cozy Bear, más néven APT29 állhat a háttérben, amelyet korábban a SolarWinds-hekkeléssel is összefüggésbe hoztak.