29 مارس (10 فروردین 1403) یکی از رویدادهای مهم امنیتی سال رقم خورد. در حالی که «آندرس فرایند»، متخصص مایکروسافت و توسعهدهندهی PostgreSQL، در تعطیلات عید پاک بود، بهطور تصادفی به یک نقص امنیتی در XZ Utils برخورد کرد؛ ابزاری که در بیشتر توزیعهای لینوکس و حتی ویندوز کاربرد دارد. اما این نقص یک آسیبپذیری معمولی نبود؛ بلکه یکی از خطرناکترین بکدورها در تاریخ امنیت سایبری بهشمار میرفت.
آسیبپذیری یادشده که به نام CVE-2024-3094 شناخته میشود، با سطح تهدید بسیار بالا (10) ثبت شده است؛ حتی خطرناکتر از آسیبپذیریهای بزرگی چون Shellshock و Heartbleed. اگر این نقص بهموقع کشف نمیشد، امکان نفوذ گسترده و پنهان در بسیاری از سیستمها وجود داشت.
آندرس فرایند که در حال تست و بهینهسازی عملکرد PostgreSQL بود، متوجه مصرف بیشازحد CPU در کتابخانهی liblzma، بخشی از XZ Utils شد. پس از بررسیهای دقیق، او کشف کرد که مخزن اصلی XZ و بستههای منتشر شده به یک بکدور آلوده شدهاند. این آسیبپذیری تقریباً تمامی توزیعهای لینوکس را تحت تاثیر قرار داد، از جمله Debian، Fedora، Kali و openSUSE، بهجز TempleOS که بهدلیل ساختار مستقل آن در امان ماند.
در ادامه، بررسیهای امنیتی نشان داد که این بکدور توسط یکی از دو توسعهدهندهی اصلی پروژه، جیا تان، بهطور مخفیانه وارد سیستم شده است. این کد مخرب بهصورت پنهانی از ساختار M4 برای افزودن کدهای مخرب در مراحل ساخت و نصب استفاده میکرد و از این طریق به سرورهای SSH نیز دسترسی پیدا میکرد. این حمله، نگرانیهای گستردهای درباره امنیت نرمافزارهای منبعباز و آسیبپذیریهای موجود در زنجیره تامین نرمافزارها ایجاد کرده است.
این رویداد یادآور اهمیت بالای مدیریت زنجیره تأمین نرمافزاری است. به سازمانها توصیه میشود با استفاده از نسخههای امنتر مانند XZ Utils 5.4 سیستمهای خود را بهروزرسانی کنند و از ابزارهایی مانند Tanium Guardian برای شناسایی و جلوگیری از چنین آسیبپذیریهایی بهره بگیرند.
