SBOM ツールによる救済 – XZ Utils バックドア ケース

全ての記事

ダニー・ネベンザール

XZ Utils (CVE-2024-3094) バックドアとは何ですか?

2024 年 3094 月初めに公開された CVE-2024-XNUMX は、Linux ユーティリティに悪意を持って挿入されたバックドアです。これは、好奇心旺盛でセキュリティ意識の高い Microsoft ソフトウェア エンジニアである Andres Freund によって、主要な Linux ディストリビューションに統合される寸前に発見されました。これが成功した場合、想像を絶する数のサーバーが悪意のある攻撃者によって完全に制御される可能性があります。

このバックドアの詳細は簡単に見つけることができます。ある ニュースレベルの報道 ガーディアン紙によって、そして テクニカル分析 オリジナルと並んで Akamai による アラートメール アンドレス・フロイントによるものはいくつかの例です。

SBOM と ScribeHub を使用した CVE-2024-3094 への対応

SBOM 管理ツールを使用して SBOM を管理している組織は、この問題や同様のバックドアや脆弱性に迅速に対応できます。ここでは、高度な SBOM 管理機能を備えた Scribe のソフトウェア リスク管理プラットフォームである ScribeHub を使用した対応について詳しく説明し、あなたやあなたのマネージャーが自問しているであろういくつかの質問に答えます。

ステップ 1: どのシステムが脆弱ですか? 

  • Scribe は、新たな重大かつ高レベルの脆弱性についてアラートを発します。システムの SBOM が生成され、ScribeHub にアップロードされた場合、新しい脆弱性の影響を受ける製品に関するプッシュ通知アラートがメールボックスに届きます。
  • Scribe を使用すると、製品ポートフォリオ全体から特定のパッケージを検索できます。 ScribeHub を使用すると、このパッケージを直接検索できます。これが ScribeHub ダッシュボードにどのように表示されるかを示すスナップショットです。

スクライブのスクリーンショット

  • このビューにより、どの製品に脆弱性があるかをすぐに理解できます。この情報を使用して、アクションに優先順位を付けることができます (たとえば、Payments アプリケーションに高い優先順位を割り当て、Internal-Lunch-Orders アプリケーションに低い優先順位を割り当てるなど)。

ステップ 2: 脆弱なコンテナが運用システムに侵入しないようにするにはどうすればよいですか?

大規模なソフトウェア開発組織に SBOM 生成を導入するのは困難です。多くのプロジェクト、多くの緊急のタスク、そしてサードパーティのコンテナを統合する緊急のニーズがあります。 

Scribe の Kubernetes アドミッション コントローラーは、運用クラスターのゲートキーパーとして機能します。 Scribe ポリシー エンジンを使用すると、次の 3 つの単純なルールを使用してポリシーを展開できます。

  1. SBOM のないイメージの展開を警告またはブロックします。このルールにより、今後はそのようなイベントに対応できるようになります。
  2. xz-utils バージョン 5.6.0 または 5.6.1 を使用したイメージの展開をブロックします。このルールにより、クラスター内に脆弱なコンテナーが作成されなくなります。
  3. CWE-506 (バックドアの脆弱性タグ) による脆弱性のあるイメージの展開をブロックします。このルールは「教訓を学ぶ」ことに関するもので、NVD が悪意のあるコードとしてマークした脆弱性のある画像をブロックします。

ステップ 3: この脆弱性のあるイメージがシステムの周囲に隠れていないことを確認するにはどうすればよいですか? 

イメージはすでに展開されているか、イメージ レジストリにプッシュされている可能性があります。 Scribe Scanner を使用すると、すべての画像を可視化できます。スキャン タスクを設定すると、イメージ レジストリと Kubernetes クラスター内のすべてのイメージを即座に確認できます。スキャン後、すべての画像の SBOM が ScribeHub に保存されます。重大な脆弱性のアラートが表示され、これらの SBOM を検索できるようになります。さらに、すべてのイメージに対してポリシー評価を実行できます。 

ステップ 4: 次の XZ ケースのリスクを軽減するにはどうすればよいですか? 

このようなリスクを軽減する 1 つの方法は、特に古いバージョンに脆弱性がない場合は、ソフトウェア パッケージの新しいバージョンを最初に採用しないことを決定することです。 Scribe を使用すると、次の 2 つの方法でこれを実現できます。

  1. ScribeHub BI 機能を使用すると、製品バージョン間でアップグレードされたパッケージのレポートを取得できます。
  2. ScribeHub を使用すると、そのようなソフトウェア バージョンの使用をブロックまたは警告するポリシーを設定できます。

ScribeHub の驚くべき機能について詳しく知りたいですか? お問合せ

このコンテンツは、エンドツーエンドのソフトウェア サプライ チェーン セキュリティ ソリューションの大手プロバイダーである Scribe Security によって提供されており、ソフトウェア サプライ チェーン全体のコード成果物とコード開発および配信プロセスに最先端のセキュリティを提供しています。 もっと詳しく知る。

関連記事

ノックアウトのイメージ
OMB メモによって収益が損なわれないようにするにはどうすればよいでしょうか?

米国政府はサイバーセキュリティ政策の見直しを進めている。これには、ソフトウェア開発ライフサイクル (SDLC) 全体にわたるセキュリティの脆弱性を軽減することを目的とした、国立標準技術研究所 (NIST) によるセキュア ソフトウェア開発フレームワーク (SSDF) バージョン 1.1 のリリースが含まれます。この文書は、ソフトウェアベンダーとアクワイアラーに「…」を提供します。

EU の法律を説明する画像
デジタル サービスを守る: 欧州サイバー レジリエンス法の内情

ハードウェア製品とソフトウェア製品の両方に対するサイバー攻撃が驚くほど頻繁になっています。 Cyber​​security Ventures によると、7 年にサイバー犯罪による世界の被害額は推定 2022 兆ドルに達します。これほど高額な費用がかかるため、企業と政府の両方が注目するのも不思議ではありません。米国は大統領大統領令で先導した […]

特徴画像
脆弱性スキャンで CVE バーンアウトとアラート疲労を回避するには?

CVE (共通脆弱性および暴露) スキャンは、ソフトウェア アプリケーションを保護するために不可欠です。ただし、ソフトウェア スタックの複雑さが増すにつれて、すべての CVE を特定して対処することが困難になる場合があります。現在の CVE スキャンに関する最大の問題の 1 つは、誤検知の蔓延です。誤検知では、パッケージ内で脆弱性が特定されません […]

人気の投稿
SBOM ツールによる救済 – XZ Utils バックドア ケースMLOps パイプラインを保護するための実践的な手順混沌から明確さへ: コンプライアンスのためのポリシー エンジンのナビゲートASPMとは?®
カテゴリー