Een kwetsbaarheid die zorgvuldig in de veelgebruikte bibliotheek xz Ultils ingewerkt was, stond op het punt uit te rollen naar populaire Linux-distributies. Dankzij een waakzame ontwikkelaar en een portie geluk is een bloedbad vermeden.
De opensourcewereld is opgeschrikt door een kwetsbaarheid die afgelopen vrijdag aan het licht kwam. CVE-2024-3094 is een backdoor geïnjecteerd in xz Utils, een bibliotheek die alomtegenwoordig is in Unix-gebaseerde besturingssystemen. Volgens security-analisten had deze kwetsbaarheid potentieel miljoenen Linux-apparaten kunnen treffen en zelfs nog veel groter kunnen zijn dan de beruchte SolarWinds-hack uit 2020.
De kwetsbaarheid werd opgemerkt door Andres Freund, een ontwikkelaar die op de loonlijst van Microsoft staat. Freund kwam er per toeval op uit: hij was prestatieproblemen aan het oplossen met het SSH-protocol in Debian. Hij ontdekte dat de problemen het gevolg waren van recente updates aan xz Utils en alarmeerde vervolgens de opensourcegemeenschap van een opzettelijke achterdeur in de bibliotheek.
Op het nippertje
Die melding kwam naar net op tijd. CVE-2024-3094 had zijn weg al gevonden naar een handvol Linux-distributies, waaronder Fedora, Kali, openSUSE en testversies van Debian. Het uiteindelijke doel van de aanvallers was om de kwetsbaarheid te verspreiden via populaire Linux-distributies van Red Hat, Debian en Ubuntu.
De backdoor zelf is technisch complex: de aanvallers wisten dus zeer goed waar ze mee bezig waren. Het maakt gebruik van een onbekende functie in xz die enkel wordt geactiveerd wanneer de bibliotheek wordt geladen op een aangetaste distributie. De SSH-verificatiecode wordt veranderd zodat aanvallers de sleutels in handen krijgen van het apparaat waarop de bibliotheek geladen wordt.
Tegen de stroom in
Wie achter de aanval zat, is onbekend, maar één van de spilfiguren is een ontwikkelaar die opereerde onder het alias Jia Tan. De dader(s) had(den) in ieder geval geduld: Jia Tan liet al voor het eerst van zich horen in 2021. Vanaf 2023 kreeg Tan xz Utils in het vizier. Hij nam, samen met handlangeraccounts, de beheerder van de bibliotheek persoonlijk op de korrel en verweet hem te weinig updates uit te rollen voor xz Utils.
Vervolgens begon Tan zelf contributies te maken en zich steeds uitdrukkelijker te moeien met het beheer van xz Utils. In februari uiteindelijk plantte hij het schadelijke zaadje in de bibliotheek en spoorde ontwikkelaars van Red Hat, Debian, Ubuntu en andere distributies om die update uit te rollen in hun besturingssystemen.
Het plan was dus om eerst opwaarts te werken en de controle over xz Utils over te nemen en vervolgens neerwaarts gebruikers van populaire Linux-distributies te treffen. Als dat plannetje gelukt was, hadden de gevolgen catastrofaal geweest.