SBOM-Tools zur Rettung – das XZ Utils Backdoor Case

Was ist die Hintertür von XZ Utils (CVE-2024-3094)?

CVE-2024-3094, veröffentlicht Anfang April 2024, ist eine Backdoor, die böswillig in ein Linux-Dienstprogramm eingefügt wurde. Es wurde von Andres Freund, einem neugierigen und sicherheitsbewussten Microsoft-Softwareentwickler, entdeckt, der kurz vor der Integration in die wichtigsten Linux-Distributionen stand. Wäre dies gelungen, könnte eine unvorstellbare Anzahl von Servern vollständig unter der Kontrolle böswilliger Akteure stehen.

Details zu dieser Hintertür können leicht gefunden werden; A Bericht auf Nachrichtenebene vom Guardian und technische Analyse von Akamai, neben dem Original Alarm-Mail von Andres Freund sind einige Beispiele.

Reagieren auf CVE-2024-3094 mit SBOMs und ScribeHub

Unternehmen, die ihre SBOMs mit SBOM-Management-Tools verwalten, können schnell auf diese und ähnliche Hintertüren und Schwachstellen reagieren; Ich werde die Reaktion mit ScribeHub, der Software-Risikomanagementplattform von Scribe, die erweiterte SBOM-Managementfunktionen umfasst, näher erläutern, indem ich einige Fragen beantworte, die Sie oder Ihr Manager sich wahrscheinlich stellen.

Schritt 1: Welche meiner Systeme sind anfällig? 

• Scribe warnt vor neuen kritischen und schwerwiegenden Schwachstellen. Wenn die SBOMs Ihrer Systeme generiert und auf ScribeHub hochgeladen würden, würden Sie in Ihrem Postfach eine Push-Benachrichtigung über die Produkte erhalten, die für die neue Sicherheitslücke anfällig sind.
• Mit Scribe können Sie in Ihrem Produktportfolio nach bestimmten Paketen suchen. Mit ScribeHub können Sie direkt nach diesem Paket suchen. Hier ist eine Momentaufnahme, wie es im ScribeHub-Dashboard erscheinen würde:

• Diese Ansicht ermöglicht es Ihnen, sofort zu erkennen, welche Produkte anfällig sind. Mithilfe dieser Informationen können Sie Aktionen priorisieren (z. B. indem Sie der Anwendung „Zahlungen“ eine hohe Priorität und der Anwendung „Interne Mittagsbestellungen“ eine niedrige Priorität zuweisen).

Schritt 2: Wie stelle ich sicher, dass kein anfälliger Container in meine Produktionssysteme gelangt?

Es ist schwierig, die SBOM-Generierung in einer großen Softwareentwicklungsorganisation einzusetzen; Es gibt viele Projekte, viele dringende Aufgaben und dringenden Bedarf zur Integration von Drittanbieter-Containern. 

Der Kubernetes Admission Controller von Scribe fungiert als Gatekeeper der Betriebscluster. Mit der Scribe-Richtlinien-Engine können Sie eine Richtlinie mit drei einfachen Regeln bereitstellen:

1. Warnen oder blockieren Sie die Bereitstellung von Bildern ohne SBOM. Diese Regel stellt sicher, dass Sie von nun an über die Möglichkeit verfügen, auf solche Ereignisse zu reagieren.
2. Blockieren Sie die Bereitstellung von Bildern mit den xz-utils-Versionen 5.6.0 oder 5.6.1. Diese Regel stellt sicher, dass in Ihrem Cluster keine anfälligen Container erstellt werden.
3. Blockieren Sie die Bereitstellung von Bildern, die Schwachstellen aufweisen, mit CWE-506 (dem Schwachstellen-Tag einer Hintertür). Bei dieser Regel geht es darum, „Ihre Lektion zu lernen“ – blockieren Sie jedes Bild, das eine Schwachstelle aufweist, die NVD als bösartigen Code markiert hat.

Schritt 3: Wie stelle ich sicher, dass sich keine Bilder mit dieser Schwachstelle in meinen Systemen verstecken? 

Bilder wurden möglicherweise bereits bereitgestellt oder an Bildregister übertragen. Mit Scribe Scanner erhalten Sie Einblick in alle Ihre Bilder. Richten Sie eine Scanaufgabe ein und erhalten Sie sofortigen Einblick in alle Images in Ihrer Image-Registrierung und Ihren Kubernetes-Clustern. Nach dem Scannen wird die SBOM aller Ihrer Bilder bei ScribeHub gespeichert; Sie erhalten eine Warnung vor kritischen Sicherheitslücken und können diese SBOMs durchsuchen. Darüber hinaus können Sie eine Richtlinienbewertung für alle Ihre Bilder durchführen. 

Schritt 4: Wie reduziere ich das Risiko des nächsten XZ-Falls? 

Eine Möglichkeit, ein solches Risiko zu verringern, besteht darin, sich dafür zu entscheiden, nicht der Erstanwender neuer Versionen von Softwarepaketen zu sein, insbesondere wenn die alten Versionen nicht anfällig sind. Mit Scribe können Sie dies auf zwei Arten erreichen:

1. Mithilfe der ScribeHub BI-Funktionen können Sie einen Bericht über Pakete erhalten, die zwischen Produktversionen aktualisiert wurden.
2. Mit ScribeHub können Sie eine Richtlinie festlegen, um die Verwendung solcher Softwareversionen zu blockieren oder zu warnen.

Möchten Sie mehr über die erstaunlichen Funktionen von ScribeHub erfahren? Kontakt

Zusammenhängende Artikel

IconBust, ein neuer NPM-Angriff

In über zwei Dutzend NPM-Paketen wurde ein neuer Software-Supply-Chain-Angriff gefunden, der darauf abzielt, Daten aus Anwendungen und Websites zu extrahieren.

Was ist ASPM?®

Angesichts der zunehmenden Komplexität von Anwendungen und der Zunahme von Sicherheitsbedrohungen ist die Gewährleistung der Sicherheit von Softwareanwendungen für Unternehmen zu einer erheblichen Herausforderung geworden. Als Lösung für diese Herausforderungen erweist sich das Application Security Posture Management (ASPM), das einen Rahmen für die Verbesserung der Sichtbarkeit, das Management von Schwachstellen und die Durchsetzung von Sicherheitskontrollen im gesamten Softwareentwicklungslebenszyklus bietet. Der […]

Auffallendes Gleichgewicht: Software-Sicherheit mit „Shift Left“ und SDLC-Leitplanken neu definieren

TL;DR In den letzten Jahren hat sich die Technologiebranche vehement für das Konzept des „Shift Left“ in der Softwareentwicklung eingesetzt und sich für eine frühzeitige Integration von Sicherheitspraktiken in den Entwicklungslebenszyklus eingesetzt. Ziel dieser Bewegung ist es, Entwicklern die Verantwortung zu übertragen, die Sicherheit ihres Codes von Beginn des Projekts an zu gewährleisten. Obwohl die Absichten hinter diesem Ansatz […]