Outils SBOM à la rescousse – le cas de porte dérobée XZ Utils

Qu'est-ce que la porte dérobée de XZ Utils (CVE-2024-3094) ?

CVE-2024-3094, publiée début avril 2024, est une porte dérobée insérée de manière malveillante dans un utilitaire Linux. Il a été détecté par Andres Freund, un ingénieur logiciel Microsoft curieux et soucieux de la sécurité, sur le point d'être intégré aux principales distributions Linux. Si cela avait réussi, un nombre inimaginable de serveurs pourraient être sous le contrôle total d’acteurs malveillants.

Les détails sur cette porte dérobée peuvent être facilement trouvés ; un rapport au niveau de l'actualité par le Gardien, et l'analyse technique par Akamai, aux côtés de l'original alerte-mail d'Andres Freund en sont quelques exemples.

Répondre à CVE-2024-3094 à l'aide des SBOM et ScribeHub

Les organisations qui gèrent leurs SBOM avec des outils de gestion SBOM peuvent réagir rapidement à ces portes dérobées et vulnérabilités similaires ; Je développerai ma réponse à l'aide de ScribeHub, la plateforme de gestion des risques logiciels de Scribe qui inclut des fonctionnalités avancées de gestion SBOM, en répondant à quelques questions que vous ou votre responsable vous posez probablement.

Étape 1 : Lesquels de mes systèmes sont vulnérables ? 

• Scribe alerte sur les nouvelles vulnérabilités critiques et élevées. Si les SBOM de vos systèmes étaient générés et téléchargés sur ScribeHub, vous recevrez une alerte de notification push dans votre boîte aux lettres concernant les produits sensibles à la nouvelle vulnérabilité.
• Scribe vous permet de rechercher des packages spécifiques dans votre portefeuille de produits. Avec ScribeHub, vous pouvez rechercher ce package directement. Voici un aperçu de la façon dont il apparaîtrait sur le tableau de bord ScribeHub :

• Cette vue vous permet de comprendre immédiatement quels produits sont vulnérables. Vous pouvez utiliser ces informations pour hiérarchiser les actions (par exemple, en attribuant une priorité élevée à l'application Paiements et une priorité faible à l'application Commandes internes de déjeuner).

Étape 2 : Comment puis-je m'assurer qu'un conteneur vulnérable n'entre pas dans mes systèmes de production ?

Il est difficile de déployer la génération SBOM dans une grande organisation de développement logiciel ; il existe de nombreux projets, de nombreuses tâches urgentes et des besoins urgents d'intégration de conteneurs tiers. 

Le contrôleur d'admission Kubernetes de Scribe agit en tant que gardien des clusters opérationnels. Le moteur de politique Scribe vous permet de déployer une politique avec trois règles simples :

1. Alerter ou bloquer le déploiement d’images sans SBOM. Cette règle garantit que vous disposerez désormais de capacités de réponse à de tels événements.
2. Bloquez le déploiement d'images à l'aide des versions 5.6.0 ou 5.6.1 de xz-utils. Cette règle garantit qu'aucun conteneur vulnérable n'est créé dans votre cluster.
3. Bloquez le déploiement d'images présentant des vulnérabilités avec CWE-506 (la balise de faiblesse d'une porte dérobée). Cette règle consiste à « apprendre votre leçon » : bloquez toute image présentant une vulnérabilité que NVD a marquée comme code malveillant.

Étape 3 : Comment puis-je m'assurer qu'aucune image présentant cette vulnérabilité ne se cache autour de mes systèmes ? 

Les images peuvent avoir déjà été déployées ou transférées vers des registres d’images. Scribe Scanner vous permet de gagner en visibilité sur toutes vos images. Configurez une tâche d'analyse et obtenez une visibilité immédiate sur toutes les images de votre registre d'images et de vos clusters Kubernetes. Après la numérisation, toutes vos images verront leur SBOM stocké sur ScribeHub ; vous recevrez une alerte de vulnérabilité critique et aurez la possibilité de rechercher ces SBOM. De plus, vous pouvez exécuter une évaluation des politiques sur toutes vos images. 

Étape 4 : Comment puis-je réduire le risque du prochain cas XZ ? 

Une façon de réduire un tel risque est de décider de ne pas être un premier à adopter les nouvelles versions des progiciels, surtout si les anciennes versions ne sont pas vulnérables. Scribe vous permet d'y parvenir de deux manières :

1. Grâce aux fonctionnalités de ScribeHub BI, vous pouvez obtenir un rapport sur les packages mis à niveau entre les versions du produit.
2. ScribeHub vous permet de définir une politique pour bloquer ou alerter sur l'utilisation de ces versions de logiciels.

Vous souhaitez en savoir plus sur les incroyables capacités de ScribeHub ? Contactez-nous

articles similaires

Assurance continue : une pratique intégrale pour la sécurité de la chaîne d'approvisionnement logicielle

L'assurance continue collecte de manière granulaire des preuves sur tous les événements du cycle de vie du développement, y compris la création du produit et le déploiement, susceptibles d'affecter la sécurité du produit logiciel final.

Que se passe-t-il lorsqu'une entreprise d'IA est victime d'une vulnérabilité de la chaîne d'approvisionnement logicielle

Le 20 mars, OpenAI a supprimé le populaire outil d'IA générative ChatGPT pendant quelques heures. Il a admis plus tard que la raison de la panne était une vulnérabilité de la chaîne d'approvisionnement logicielle provenant de la bibliothèque open source de stockage de données en mémoire « Redis ». En raison de cette vulnérabilité, il y avait une fenêtre horaire (entre 1h et 10h) […]

Ce que vous devez faire pour atteindre les niveaux SLSA – Un guide très pratique

Contexte SLSA (Supply-chain Levels for Software Artifacts) est un cadre de sécurité visant à empêcher la falsification, à améliorer l'intégrité et à sécuriser les packages et l'infrastructure. Le concept de base de SLSA est qu'un artefact logiciel ne peut être fiable que s'il répond à trois exigences : L'artefact doit avoir un document de provenance décrivant son origine et son processus de construction […]