SBOM Tools спешит на помощь – дело о бэкдоре XZ Utils

Что такое бэкдор XZ Utils (CVE-2024-3094)?

CVE-2024-3094, опубликованная в начале апреля 2024 года, представляет собой бэкдор, злонамеренно вставленный в утилиту Linux. Он был обнаружен Андресом Фройндом, любопытным и заботящимся о безопасности инженером-программистом Microsoft, который находился на грани интеграции в основные дистрибутивы Linux. Если бы это удалось, невообразимое количество серверов могло бы оказаться под полным контролем злоумышленников.

Подробности об этом бэкдоре можно легко найти; а отчет уровня новостей от Guardian и техническом анализе от Akamai, наряду с оригиналом оповещение по электронной почте Андрес Фройнд — вот несколько примеров.

Реагирование на CVE-2024-3094 с использованием SBOM и ScribeHub

Организации, которые управляют своими SBOM с помощью инструментов управления SBOM, могут быстро реагировать на эти и подобные бэкдоры и уязвимости; Я подробно расскажу о том, как отвечать с помощью ScribeHub, программной платформы управления рисками Scribe, которая включает в себя расширенные возможности управления SBOM, ответив на несколько вопросов, которые вы или ваш менеджер, вероятно, задаете себе.

Шаг 1. Какие из моих систем уязвимы? 

• Написание оповещений о новых критических и серьезных уязвимостях. Если SBOM ваших систем были созданы и загружены в ScribeHub, вы получите на свой почтовый ящик push-уведомление о продуктах, подверженных новой уязвимости.
• Scribe позволяет вам искать конкретные пакеты в вашем портфолио продуктов. С помощью ScribeHub вы можете искать этот пакет напрямую. Вот снимок того, как это будет выглядеть на панели инструментов ScribeHub:

• Такое представление позволяет сразу понять, какие продукты уязвимы. Вы можете использовать эту информацию для определения приоритетности действий (например, присвоения высокого приоритета приложению «Платежи» и низкого приоритета приложению «Внутренние заказы на обед»).

Шаг 2. Как гарантировать, что уязвимый контейнер не попадет в мои производственные системы?

В крупной организации, занимающейся разработкой программного обеспечения, сложно внедрить генерацию SBOM; Есть много проектов, много неотложных задач и острой необходимости интегрировать сторонние контейнеры. 

Контроллер доступа Scribe Kubernetes действует как привратник операционных кластеров. Механизм политики Scribe позволяет развернуть политику с помощью трех простых правил:

1. Предупреждайте или блокируйте развертывание образов без SBOM. Это правило гарантирует, что с этого момента у вас будут возможности реагирования на такие события.
2. Заблокируйте развертывание образов с помощью xz-utils версии 5.6.0 или 5.6.1. Это правило гарантирует, что в вашем кластере не будут созданы уязвимые контейнеры.
3. Блокируйте развертывание образов, содержащих уязвимости, с помощью CWE-506 (тег слабости бэкдора). Это правило касается «усвоения урока» — блокируйте любое изображение, содержащее уязвимость, которую NVD пометила как вредоносный код.

Шаг 3. Как убедиться, что в моих системах не скрываются изображения с этой уязвимостью? 

Возможно, образы уже были развернуты или отправлены в реестры образов. Scribe Scanner позволяет вам видеть все ваши изображения. Настройте задачу сканирования и сразу получите доступ ко всем образам в вашем реестре образов и кластерах Kubernetes. После сканирования все ваши изображения будут храниться в ScribeHub; вы получите предупреждение о критической уязвимости и получите возможность выполнять поиск в этих SBOM. Кроме того, вы можете выполнить оценку политики для всех ваших изображений. 

Шаг 4. Как мне снизить риск следующего случая XZ? 

Один из способов снизить такой риск — принять решение не быть первым, кто будет использовать новые версии программных пакетов, особенно если старые версии не уязвимы. Scribe позволяет добиться этого двумя способами:

1. Используя возможности ScribeHub BI, вы можете получить отчет о пакетах, которые были обновлены между версиями продукта.
2. ScribeHub позволяет вам установить политику блокировки или оповещения об использовании таких версий программного обеспечения.

Хотите узнать больше об удивительных возможностях ScribeHub? Связаться с нами

Статьи по теме

Общая форма самоаттестации безопасного программного обеспечения CISA: поворотный момент в сфере ответственности

В сентябре 2022 года Управление управления и бюджета США (OMB) опубликовало знаковую записку, касающуюся шагов, необходимых для обеспечения безопасности вашей цепочки поставок программного обеспечения до уровня, приемлемого федеральным правительством США. Любая компания, желающая вести бизнес с правительством и любым федеральным агентством, производящим программное обеспечение, должна соблюдать […]

Использование атаки на настольное приложение 3CX для иллюстрации важности подписи и проверки программного обеспечения

В конце марта 2023 года исследователи безопасности раскрыли сложную атаку злоумышленника на цепочку поставок программного обеспечения на программное обеспечение для бизнес-коммуникаций от 3CX, в основном на настольное приложение компании для голосовых и видеозвонков. Исследователи предупредили, что приложение каким-то образом было заражено трояном и что его использование может подвергнуть организацию возможной схеме эксфильтрации со стороны злоумышленника. […]

Что такое ASPM?®

С ростом сложности приложений и распространением угроз безопасности обеспечение безопасности программных приложений стало серьезной проблемой для организаций. Управление состоянием безопасности приложений (ASPM) является решением этих проблем, обеспечивая основу для улучшения прозрачности, управления уязвимостями и обеспечения контроля безопасности на протяжении всего жизненного цикла разработки программного обеспечения. […]