เมื่อ 29 มีนาคม 2567 (2024) ที่ผ่านมา พบว่าไลบรารี xz (รู้จักกันในชื่อเดิม LZMA Utils) ที่ถูกใช้งานเพื่อการบีบอัดไฟล์ XZ, LZMA Tarball และเป็นฟอร์แมตที่ถูกใช้งานอย่างแพร่หลายในระบบจัดการแพ็กเกจของลินุกซ์ ถูกฝังโค้ดมุ่งร้ายเพื่อเปิดทางให้สามารถทำการเข้ายึดระบบจากระยะไกลได้ โดยพบว่าช่องโหว่นี้กระทบกับเวอร์ชัน 5.6.0 และ 5.6.1

ตัวโค้ดมุ่งร้ายถูกทำให้ยุ่งเหยิงจนตรวจจับได้ยาก (Obfuscated) และทำให้ช่องโหว่ถูกมองข้ามไป การโจมตีจะทำการแยกไฟล์รหัสโปรแกรมที่ถูกฝังใน Test File ที่ได้ Commit ไปพร้อมกับ Commit ทดสอบปลอม จากนั้นโปรแกรมจะรันไฟล์รหัสโปรแกรมนั้นเพื่อแก้ไขพฤติกรรมของไลบรารีและเปิดช่องโหว่นี้ โดยช่องโหว่นี้ได้รับคะแนนความร้ายแรงที่ 10.0 จาก Red Hat

โปรเจกต์นี้มีผู้ดูแลหลักเพียง 2 คน ได้แก่ Lasse Collin (Larhzu) ที่ดูแลโปรเจกต์มาเป็นระยะเวลานานแล้ว และ Jia Tan (JiaT75) ที่เพิ่งจะเข้ามาได้ 2.5 ปี ในเบื้องต้นยังไม่สามารถสรุปได้อย่างชัดเจนว่าผู้ดูแลโปรเจกต์ทั้งสองรายนี้ได้กระทำความผิดจริงหรือไม่ แต่มีการสันนิษฐานว่า Jia Tan อาจจะมีส่วนเกี่ยวข้องกับช่องโหว่ดังกล่าวจากพฤติกรรมการ Commit ที่ผิดปกติ (เลือก Commit ในช่วงเวลาที่คนไม่ Active) จนถึงเวลาที่เขียนข่าวนี้ก็ยังไม่มีใครสามารถติดต่อ Jia Tan ได้ และตัวบุคคลนั้นไม่สามารถระบุได้ว่ามีตัวตนอยู่จริง

ดิสโทรส่วนใหญ่ได้ออกแพตช์เร่งด่วนเพื่ออุดช่องโหว่นี้แล้ว Red Hat ได้ออกประกาศเตือนให้ปิดระบบ Fedora Rawhide เพื่อแพตช์ทันที และ Microsoft ได้ปิด Repository ดังกล่าวชั่วคราว

ที่มา: National Vulnerability Database - NIST,
thesamesam/xz-backdoor.md, Red Hat, The Hacker News, danderson@hachyderm.io