Что такое бэкдор XZ Utils (CVE-2024-3094)?
CVE-2024-3094, опубликованная в начале апреля 2024 года, представляет собой бэкдор, злонамеренно вставленный в утилиту Linux. Он был обнаружен Андресом Фройндом, любопытным и заботящимся о безопасности инженером-программистом Microsoft, который находился на грани интеграции в основные дистрибутивы Linux. Если бы это удалось, невообразимое количество серверов могло бы оказаться под полным контролем злоумышленников.
Подробности об этом бэкдоре можно легко найти; а отчет уровня новостей от Guardian и техническом анализе от Akamai, наряду с оригиналом оповещение по электронной почте Андрес Фройнд — вот несколько примеров.
Реагирование на CVE-2024-3094 с использованием SBOM и ScribeHub
Организации, которые управляют своими SBOM с помощью инструментов управления SBOM, могут быстро реагировать на эти и подобные бэкдоры и уязвимости; Я подробно расскажу о том, как отвечать с помощью ScribeHub, программной платформы управления рисками Scribe, которая включает в себя расширенные возможности управления SBOM, ответив на несколько вопросов, которые вы или ваш менеджер, вероятно, задаете себе.
Шаг 1. Какие из моих систем уязвимы?
- Написание оповещений о новых критических и серьезных уязвимостях. Если SBOM ваших систем были созданы и загружены в ScribeHub, вы получите на свой почтовый ящик push-уведомление о продуктах, подверженных новой уязвимости.
- Scribe позволяет вам искать конкретные пакеты в вашем портфолио продуктов. С помощью ScribeHub вы можете искать этот пакет напрямую. Вот снимок того, как это будет выглядеть на панели инструментов ScribeHub:
- Такое представление позволяет сразу понять, какие продукты уязвимы. Вы можете использовать эту информацию для определения приоритетности действий (например, присвоения высокого приоритета приложению «Платежи» и низкого приоритета приложению «Внутренние заказы на обед»).
Шаг 2. Как гарантировать, что уязвимый контейнер не попадет в мои производственные системы?
В крупной организации, занимающейся разработкой программного обеспечения, сложно внедрить генерацию SBOM; Есть много проектов, много неотложных задач и острой необходимости интегрировать сторонние контейнеры.
Контроллер доступа Scribe Kubernetes действует как привратник операционных кластеров. Механизм политики Scribe позволяет развернуть политику с помощью трех простых правил:
- Предупреждайте или блокируйте развертывание образов без SBOM. Это правило гарантирует, что с этого момента у вас будут возможности реагирования на такие события.
- Заблокируйте развертывание образов с помощью xz-utils версии 5.6.0 или 5.6.1. Это правило гарантирует, что в вашем кластере не будут созданы уязвимые контейнеры.
- Блокируйте развертывание образов, содержащих уязвимости, с помощью CWE-506 (тег слабости бэкдора). Это правило касается «усвоения урока» — блокируйте любое изображение, содержащее уязвимость, которую NVD пометила как вредоносный код.
Шаг 3. Как убедиться, что в моих системах не скрываются изображения с этой уязвимостью?
Возможно, образы уже были развернуты или отправлены в реестры образов. Scribe Scanner позволяет вам видеть все ваши изображения. Настройте задачу сканирования и сразу получите доступ ко всем образам в вашем реестре образов и кластерах Kubernetes. После сканирования все ваши изображения будут храниться в ScribeHub; вы получите предупреждение о критической уязвимости и получите возможность выполнять поиск в этих SBOM. Кроме того, вы можете выполнить оценку политики для всех ваших изображений.
Шаг 4. Как мне снизить риск следующего случая XZ?
Один из способов снизить такой риск — принять решение не быть первым, кто будет использовать новые версии программных пакетов, особенно если старые версии не уязвимы. Scribe позволяет добиться этого двумя способами:
- Используя возможности ScribeHub BI, вы можете получить отчет о пакетах, которые были обновлены между версиями продукта.
- ScribeHub позволяет вам установить политику блокировки или оповещения об использовании таких версий программного обеспечения.
Хотите узнать больше об удивительных возможностях ScribeHub? Связаться с нами
Этот контент предоставлен вам Scribe Security, ведущим поставщиком комплексных решений для обеспечения безопасности цепочки поставок программного обеспечения, обеспечивающим современную безопасность артефактов кода, а также процессов разработки и доставки кода по всей цепочке поставок программного обеспечения. Подробнее.
Статьи по теме
