xz ओपन सोर्स हमले की पूरी टाइमलाइन

• 2 साल से अधिक समय तक "Jia Tan" नाम का उपयोग करने वाला एक हमलावर xz compression library में एक मेहनती और प्रभावी contributor के रूप में सक्रिय रहा, और अंततः उसे commit access और maintainer अधिकार दे दिए गए।
• उसने इन अधिकारों का उपयोग करके liblzma में, जो xz का हिस्सा है और Debian, Ubuntu, Fedora तथा अन्य systemd-आधारित Linux सिस्टम में OpenSSH sshd की dependency भी है, एक बहुत ही सूक्ष्म और सावधानी से छिपाया गया backdoor स्थापित किया।
• यह backdoor SSH session शुरू होने पर हमलावर द्वारा भेजे गए छिपे हुए command पर नज़र रखता था, जिससे हमलावर बिना login किए target system पर मनचाहा command चला सकता था। यह unauthenticated target remote code execution था।
• इस हमले का 29 मार्च 2024 को सार्वजनिक खुलासा हुआ, और यह व्यापक रूप से उपयोग किए जाने वाले open source software पर पहला गंभीर supply-chain attack प्रतीत होता है।
• open source supply-chain security के लिए यह एक watershed moment है।
• यह पोस्ट इस हमले के social engineering पहलुओं की एक विस्तृत timeline है, जिसकी शुरुआत संभवतः 2021 के अंत तक जाती है।

प्रस्तावना

• 2005-2008 में, Lasse Collin ने अन्य लोगों की मदद से .xz file format डिज़ाइन किया, जिसमें LZMA compression algorithm का उपयोग होता है और यह फ़ाइलों को gzip की तुलना में लगभग 70% आकार तक compress करता है।
• समय के साथ यह format tar files, Linux kernel images आदि को compress करने के लिए व्यापक रूप से इस्तेमाल होने लगा।

Jia Tan का उभरना और समर्थक

• 2021-10-29: Jia Tan ने xz-devel mailing list पर अपना पहला हानिरहित patch भेजा।
• 2021-11-29: Jia Tan ने दूसरा हानिरहित patch भेजा।
• 2022-04-19: Jia Tan ने एक और हानिरहित patch भेजा।
• 2022-04-22: "Jigar Kumar" ने शिकायत की कि Jia Tan का patch अभी तक merge नहीं हुआ है।
• 2022-05-19: "Dennis Ens" ने XZ for Java की maintenance स्थिति के बारे में पूछा।
• 2022-05-19: Lasse Collin ने धीमे जवाब के लिए माफ़ी मांगी और उत्तर दिया कि "Jia Tan off-list XZ Utils में मदद कर रहा है, और कम से कम XZ Utils में बड़ी भूमिका ले सकता है।"
• 2022-05-27: Jigar Kumar ने patch thread पर दबाव बनाने वाला email भेजा।
• 2022-06-07: Jigar Kumar ने Java thread पर दबाव बनाने वाला email भेजा।
• 2022-06-08: Lasse Collin ने जवाब दिया कि उनकी रुचि खत्म नहीं हुई है, लेकिन mental health समस्याओं के कारण वे सीमित हैं।
• 2022-06-10: Lasse Collin ने Jia Tan द्वारा लिखा गया पहला commit merge किया।
• 2022-06-14: Jugar Kumar ने एक और दबाव वाला email भेजा।
• 2022-06-21: Dennis Ens ने maintenance किसी और को सौंपने का सुझाव देने वाला दबावपूर्ण email भेजा।
• 2022-06-22: Jigar Kumar ने C patch thread पर दबाव वाला email भेजा।
• 2022-06-29: Lasse Collin ने उत्तर में संकेत दिया कि "Jia Tan project में बड़ी भूमिका ले सकता है।"

Jia Tan maintainer बनता है

• ऐसा लगता है कि Lasse ने Jia Tan के साथ अधिक नज़दीकी से काम करना शुरू किया। Jigar Kumar और Dennis Ens संभवतः नकली व्यक्ति थे।
• 2022-09-27: Jia Tan ने 5.4.0 release summary दी।
• 2022-11-30: Lasse Collin ने bug report email को अपने निजी पते से बदलकर Jia Tan के साथ साझा alias पर कर दिया।
• 2022-12-30: Jia Tan ने xz repository में सीधे अपना पहला commit merge किया।
• 2023-01-11: Lasse Collin ने अपनी आख़िरी release v5.4.1 को tag और build किया।
• 2023-03-18: Jia Tan ने अपनी पहली release v5.4.2 को tag और build किया।
• 2023-03-20: Jia Tan ने Google oss-fuzz configuration अपडेट किया ताकि bug reports उसे भेजी जाएँ।
• 2023-06-22: Hans Jansen ने "GNU indirect function" feature का उपयोग करने वाले patch की एक जोड़ी भेजी, जिसे Lasse Collin ने rework किया और Jia Tan ने merge किया।
• 2023-07-07: Jia Tan ने oss-fuzz build के दौरान ifunc support को disable कर दिया।
• 2024-01-19: Jia Tan ने web site को GitHub Pages पर migrate किया और XZ Utils web page पर नियंत्रण हासिल कर लिया।

हमला शुरू

• 2024-02-23: Jia Tan ने test input files के भीतर छिपा backdoor binary code merge किया।
• 2024-02-24: Jia Tan ने v5.6.0 tag किया और malicious build-to-host.m4 शामिल करने वाला xz-5.6.0.tar.gz distribution प्रकाशित किया।
• 2024-02-24: Gentoo में 5.6.0 पर crash होना शुरू हुआ।
• 2024-02-26: Debian ने xz-utils 5.6.0-0.1 को unstable में जोड़ा।
• 2024-02-28: Debian ने xz-utils 5.6.0-0.2 को unstable में जोड़ा।
• 2024-02-29: GitHub पर @teknoraver ने liblzma को libsystemd से link न करने के लिए pull request भेजा।
• 2024-02-28: Jia Tan ने Landlock support की जाँच के लिए उपयोग होने वाले C program में एक सूक्ष्म typo जोड़ा, जिससे configure script की Landlock detection टूट गई।
• 2024-03-04: RedHat distributions में liblzma के _get_cpuid में Valgrind errors आने लगे।
• 2024-03-05: libsystemd PR merge हो गया और liblzma हटा दिया गया।
• 2024-03-05: Debian ने xz-utils 5.6.0-0.2 को testing में जोड़ा।
• 2024-03-05: Jia Tan ने ifunc bug fix commit किया।
• 2024-03-08: Jia Tan ने Valgrind fix के लिए commit किया।
• 2024-03-09: Jia Tan ने backdoor files अपडेट करने वाला commit किया।
• 2024-03-09: Jia Tan ने v5.6.1 tag किया और xz 5.6.1 distribution प्रकाशित किया।
• 2024-03-20: Lasse Collin ने kernel के xz compression code के maintainer के रूप में अपने और Jia Tan के नाम जोड़ने वाला patch set LKML पर भेजा।
• 2024-03-25: Hans Jansen ने xz-utils को 5.6.1 पर अपडेट करने के लिए Debian bug file किया।
• 2024-03-28: Jia Tan ने Ubuntu bug file किया ताकि Debian से xz-utils को 5.6.1 पर अपडेट किया जाए।

हमले का पता लगना

• 2024-03-28: Andres Freund ने bug खोजा और Debian तथा distros@openwall को निजी रूप से सूचित किया। RedHat ने CVE-2024-3094 assign किया।
• 2024-03-28: Debian ने 5.6.1 rollback किया और 5.6.1+really5.4.5-1 पेश किया।
• 2024-03-29: Andres Freund ने सार्वजनिक oss-security@openwall list पर backdoor alert पोस्ट किया और कहा कि उन्होंने इसे "पिछले कुछ हफ्तों में" खोजा था।
• 2024-03-29: RedHat ने घोषणा की कि backdoor वाला xz Fedora Rawhide और Fedora Linux 40 beta में वितरित किया गया था।
• 2024-03-30: Debian ने builds रोक दिए और Debian stable का उपयोग करके build machines को फिर से बनाया।

GN⁺ की राय

• यह घटना open source software पर supply-chain attack के संदर्भ में एक महत्वपूर्ण turning point होगी। वजह यह है कि लंबे समय तक चले social engineering approach के ज़रिए साज़िशकर्ताओं ने भरोसा जीता, access अधिकार हासिल किए, और फिर व्यापक रूप से इस्तेमाल होने वाली core library में चुपचाप backdoor स्थापित कर दिया।
• open source projects की governance और अधिकार-हस्तांतरण प्रक्रिया पर फिर से विचार करने की ज़रूरत है। यह देखने लायक है कि distributed governance model अपनाया जाए ताकि project किसी एक core maintainer की व्यक्तिगत परिस्थितियों पर निर्भर न रहे।
• बड़े open source projects के लिए security audit और code review और भी अधिक महत्वपूर्ण होंगे। संदिग्ध changes पकड़ने और अधिकारों के दुरुपयोग को रोकने के लिए automated checking tools की भी ज़रूरत है। उदाहरण के लिए, binary data जोड़ने पर alert जैसी व्यवस्था।
• open source model के फायदों को नुकसान पहुँचाए बिना—जहाँ development सार्वजनिक रूप से होता है और कोई भी योगदान दे सकता है—ऐसे तकनीकी और संस्थागत उपाय होने चाहिए जो malicious contributors की पहचान कर सकें और हमलों को शुरुआती चरण में रोक सकें।
• जिन open source projects में security-weak languages या tools का उपयोग होता है, उनमें जोखिम अधिक होगा। memory safety, static analysis, fuzzing जैसी बहुआयामी सुरक्षा कोशिशों के साथ आधुनिक tools की ओर migration भी ज़रूरी होगा।
• backdoor के छिपे activation conditions, distribution path, और impact scope जैसी बातों पर विस्तृत analysis results में रुचि केंद्रित होगी। इससे भविष्य में ऐसे ही हमलों से बचाव के लिए महत्वपूर्ण insights मिल सकते हैं।