SBOM ツールによる救済 – XZ Utils バックドア ケース

全ての記事

ダニー・ネベンザール

XZ Utils (CVE-2024-3094) バックドアとは何ですか?

2024 年 3094 月初めに公開された CVE-2024-XNUMX は、Linux ユーティリティに悪意を持って挿入されたバックドアです。これは、好奇心旺盛でセキュリティ意識の高い Microsoft ソフトウェア エンジニアである Andres Freund によって、主要な Linux ディストリビューションに統合される寸前に発見されました。これが成功した場合、想像を絶する数のサーバーが悪意のある攻撃者によって完全に制御される可能性があります。

このバックドアの詳細は簡単に見つけることができます。ある ニュースレベルの報道 ガーディアン紙によって、そして テクニカル分析 オリジナルと並んで Akamai による アラートメール アンドレス・フロイントによるものはいくつかの例です。

SBOM と ScribeHub を使用した CVE-2024-3094 への対応

SBOM 管理ツールを使用して SBOM を管理している組織は、この問題や同様のバックドアや脆弱性に迅速に対応できます。ここでは、高度な SBOM 管理機能を備えた Scribe のソフトウェア リスク管理プラットフォームである ScribeHub を使用した対応について詳しく説明し、あなたやあなたのマネージャーが自問しているであろういくつかの質問に答えます。

ステップ 1: どのシステムが脆弱ですか? 

  • Scribe は、新たな重大かつ高レベルの脆弱性についてアラートを発します。システムの SBOM が生成され、ScribeHub にアップロードされた場合、新しい脆弱性の影響を受ける製品に関するプッシュ通知アラートがメールボックスに届きます。
  • Scribe を使用すると、製品ポートフォリオ全体から特定のパッケージを検索できます。 ScribeHub を使用すると、このパッケージを直接検索できます。これが ScribeHub ダッシュボードにどのように表示されるかを示すスナップショットです。

スクライブのスクリーンショット

  • このビューにより、どの製品に脆弱性があるかをすぐに理解できます。この情報を使用して、アクションに優先順位を付けることができます (たとえば、Payments アプリケーションに高い優先順位を割り当て、Internal-Lunch-Orders アプリケーションに低い優先順位を割り当てるなど)。

ステップ 2: 脆弱なコンテナが運用システムに侵入しないようにするにはどうすればよいですか?

大規模なソフトウェア開発組織に SBOM 生成を導入するのは困難です。多くのプロジェクト、多くの緊急のタスク、そしてサードパーティのコンテナを統合する緊急のニーズがあります。 

Scribe の Kubernetes アドミッション コントローラーは、運用クラスターのゲートキーパーとして機能します。 Scribe ポリシー エンジンを使用すると、次の 3 つの単純なルールを使用してポリシーを展開できます。

  1. SBOM のないイメージの展開を警告またはブロックします。このルールにより、今後はそのようなイベントに対応できるようになります。
  2. xz-utils バージョン 5.6.0 または 5.6.1 を使用したイメージの展開をブロックします。このルールにより、クラスター内に脆弱なコンテナーが作成されなくなります。
  3. CWE-506 (バックドアの脆弱性タグ) による脆弱性のあるイメージの展開をブロックします。このルールは「教訓を学ぶ」ことに関するもので、NVD が悪意のあるコードとしてマークした脆弱性のある画像をブロックします。

ステップ 3: この脆弱性のあるイメージがシステムの周囲に隠れていないことを確認するにはどうすればよいですか? 

イメージはすでに展開されているか、イメージ レジストリにプッシュされている可能性があります。 Scribe Scanner を使用すると、すべての画像を可視化できます。スキャン タスクを設定すると、イメージ レジストリと Kubernetes クラスター内のすべてのイメージを即座に確認できます。スキャン後、すべての画像の SBOM が ScribeHub に保存されます。重大な脆弱性のアラートが表示され、これらの SBOM を検索できるようになります。さらに、すべてのイメージに対してポリシー評価を実行できます。 

ステップ 4: 次の XZ ケースのリスクを軽減するにはどうすればよいですか? 

このようなリスクを軽減する 1 つの方法は、特に古いバージョンに脆弱性がない場合は、ソフトウェア パッケージの新しいバージョンを最初に採用しないことを決定することです。 Scribe を使用すると、次の 2 つの方法でこれを実現できます。

  1. ScribeHub BI 機能を使用すると、製品バージョン間でアップグレードされたパッケージのレポートを取得できます。
  2. ScribeHub を使用すると、そのようなソフトウェア バージョンの使用をブロックまたは警告するポリシーを設定できます。

ScribeHub の驚くべき機能について詳しく知りたいですか? お問合せ

このコンテンツは、エンドツーエンドのソフトウェア サプライ チェーン セキュリティ ソリューションの大手プロバイダーである Scribe Security によって提供されており、ソフトウェア サプライ チェーン全体のコード成果物とコード開発および配信プロセスに最先端のセキュリティを提供しています。 詳しくはこちら。

関連記事

アイコンバーストの記事画像
IconBust、新しい NPM 攻撃

アプリケーションや Web サイトからデータを抽出することを目的とした新たなソフトウェア サプライ チェーン攻撃が、20 を超える NPM パッケージで発見されました。

アプリケーションセキュリティのイメージ
ASPMとは?®

アプリケーションの複雑化とセキュリティ脅威の蔓延に伴い、ソフトウェア アプリケーションのセキュリティを確保することが組織にとって大きな課題となっています。 Application Security Posture Management (ASPM) は、これらの課題の解決策として登場し、可視性の向上、脆弱性の管理、ソフトウェア開発ライフサイクル全体にわたるセキュリティ制御の強化のためのフレームワークを提供します。 […]

画像を左にシフト
絶妙なバランス: 「シフト レフト」と SDLC ガードレールによるソフトウェア セキュリティの再定義

TL;DR 近年、テクノロジー業界はソフトウェア開発における「シフトレフト」の概念を熱心に支持し、セキュリティ慣行を開発ライフサイクルに早期に統合することを提唱しています。この動きは、プロジェクトの開始時からコードのセキュリティを確保する責任を開発者に与えることを目的としています。ただし、このアプローチの背後にある意図は次のとおりです […]

人気の投稿
SDLC 全体に SBOM を統合する方法最近のソフトウェア サプライ チェーン攻撃に対する防御: 教訓と戦略地図なしで戦いに行きますかね?ソフトウェア部品表による脆弱性の特定: セキュリティ、透明性、コンプライアンスの確保
カテゴリー