Die XZ Utils-Hintertür in Linux weist auf ein umfassenderes Sicherheitsproblem in der Lieferkette hin, und wir brauchen mehr als Gemeinschaftsgeist, um es in Schach zu halten
Nach der Entdeckung eines heimtückischen Kompromisses in der Software-Lieferkette wurde die Cybersicherheitsbranche erneut in höchste Alarmbereitschaft versetzt. Die Sicherheitslücke, die die XZ Utils-Datenkomprimierungsbibliothek betrifft, die im Lieferumfang der wichtigsten Linux-Distributionen enthalten ist, ist unter CVE-2024-3094 protokolliert und läuft auf eine Hintertür hinaus, die bewusst von einem einst vertrauenswürdigen freiwilligen Systembetreuer eingefügt wurde. Sie ermöglicht in einigen Fällen die Ausführung von Remotecode (RCE), wenn sie erfolgreich ausgenutzt wird, und stellt ein schwerwiegendes Problem dar, das in etablierten Software-Build-Prozessen schweren Schaden anrichten kann.
Zum Glück entdeckte ein anderer Betreuer diese Bedrohung, bevor der bösartige Code in stabile Linux-Versionen gelangte, aber sie stellt immer noch ein Problem für diejenigen dar, die mit den Versionen 5.6.0. und 5.6.1 von XZ Utils als Teil von Fedora Rawhide begonnen haben, und Organisationen sind zum Patchen gedrängt es hat Priorität auf Notfallebene. Wenn diese Entdeckung nicht rechtzeitig gemacht würde, wäre es aufgrund des Risikoprofils einer der verheerendsten Supply-Chain-Angriffe aller Zeiten, der SolarWinds vielleicht sogar in den Schatten stellen würde.
Die Abhängigkeit von Freiwilligen aus der Gemeinde bei der Wartung kritischer Systeme ist umfassend dokumentiert, wird jedoch nur selten erörtert, bis schwerwiegende Probleme wie dieser Vorfall an die Oberfläche kommen. Ihre unermüdliche Arbeit ist zwar für die Wartung von Open-Source-Software unerlässlich, dies unterstreicht jedoch die Notwendigkeit, den Sicherheitskompetenzen und dem Sicherheitsbewusstsein auf Entwicklerebene große Bedeutung beizumessen, ganz zu schweigen von verschärften Zugriffskontrollen rund um Software-Repositorys.
Was ist die XZ Utils-Hintertür und wie wird sie entschärft?
Am 29. März, Red Hat hat eine dringende Sicherheitswarnung veröffentlicht um Benutzer von Fedora Linux 4.0 und Fedora Rawhide darüber zu informieren, dass die neuesten Versionen der „XZ“ -Komprimierungstools und -Bibliotheken bösartigen Code enthalten, der offenbar speziell entwickelt wurde, um unbefugten Zugriff durch Dritte zu erleichtern. Wie dieser bösartige Code eingeschleust wurde, wird in Zukunft wahrscheinlich Gegenstand intensiver Studien sein, aber es handelt sich um eine ausgeklügelte, geduldige und jahrelange Social-Engineering-Übung des Bedrohungsakteurs, eines pseudonymen Angreifers namens „Jia Tan“. Diese Person verbrachte unzählige Stunden damit, das Vertrauen anderer Betreuer zu gewinnen, leistete über zwei Jahre lang legitime Beiträge zum XZ Utils-Projekt und der Community und erlangte schließlich den Status eines „vertrauenswürdigen Betreuers“, nachdem mehrere Sockpuppet-Accounts das Vertrauen in den ehrenamtlichen Projekteigentümer Lasse Collin untergraben hatten:
Dieses ungewöhnliche Szenario ist ein Paradebeispiel dafür, dass eine hochtechnische Person immer noch Opfer von Taktiken wird, die normalerweise nur gegen weniger versierte Personen eingesetzt werden, und zeigt, dass präzise, rollenbasierte Schulungen zum Sicherheitsbewusstsein erforderlich sind. Es war nur der Neugier und dem schnellen Denken des Microsoft-Softwareingenieurs und PostgreSQL-Betreuers zu verdanken. Andres Freund, dass die Hintertür entdeckt und Versionen zurückgesetzt wurden, wodurch der möglicherweise verheerendste Supply-Chain-Angriff der letzten Zeit gestoppt wurde.
Die Hintertür selbst wird offiziell als Sicherheitslücke mit dem höchstmöglichen Schweregrad eingestuft in Das NIST-Register. Ursprünglich wurde angenommen, dass es die Umgehung der SSH-Authentifizierung ermöglicht, aber weitere Untersuchungen ergaben, dass es die unauthentifizierte Remotecodeausführung auf anfälligen Linux-Systemen ermöglichte, darunter Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed und einigen Versionen von Debian.
Jia Tan scheint große Anstrengungen unternommen zu haben, um das bösartige Paket zu verschleiern. Wenn es während des Build-Prozesses dazu veranlasst wird, sich selbst zu erstellen, behindert es die Authentifizierung in SSHD über systemd. Wie Roter Hut detailliert, unter den richtigen Umständen könnte diese Störung es einem Angreifer ermöglichen, die SSHD-Authentifizierung zu durchbrechen und sich unbefugten Fernzugriff auf das gesamte System zu verschaffen.
Microsoft hat unter anderem veröffentlichte umfassende Leitlinien zum Scannen von Systemen nach Exploit-Fällen und zur Abschwächung seiner Auswirkungen sowie zu den empfohlenen Sofortmaßnahmen von CISA ist, dass betroffene Entwickler und Benutzer XZ Utils auf eine kompromisslose Version herunterstufen sollten, wie XZ Utils 5.4.6 Stable.
Es ist unglaublich schwierig, diese Art von Angriffen zu verhindern — insbesondere bei der Verwendung von Open-Source-Komponenten in Software —, da die Sicherheit der Lieferkette kaum gewährleistet und transparent ist. Wir haben bereits versehentliche Fehler in der Software-Lieferkette bekämpft, aber dieses Risiko hat sich auf Sicherheitslücken erhöht, die bewusst böswillig eingepflanzt wurden, um die Open-Source-Sicherheit zu gefährden.
Die meisten Entwickler werden einen Angriff dieser Art nur stoppen können, wenn sie über ein ausgeprägtes Sicherheitsbewusstsein, gesunde Sicherheitskenntnisse und eine Prise Paranoia verfügen. Es geht fast darum, dass die Denkweise eines Bedrohungsakteurs erforderlich ist. Eine Hauptüberlegung sollte sich jedoch immer auf Quellcode-Repositorys konzentrieren, die sind intern gesteuert (d. h. nicht Open Source). Diese sollten nur Personen zugänglich sein, die über nachgewiesene, relevante Sicherheitskenntnisse verfügen. AppSec-Experten könnten eine Einrichtung wie Sicherheitskontrollen auf Filialebene in Betracht ziehen, sodass nur sicherheitserfahrene Entwickler Änderungen am endgültigen Master-Branch vornehmen können.
Freiwillige Betreuer sind Helden, aber es (sollte) ein ganzes Dorf brauchen, um sichere Software aufrechtzuerhalten
Für diejenigen, die nicht im Bereich der Softwaretechnik tätig sind, ist die Vorstellung, dass eine temperamentvolle Gemeinschaft von Freiwilligen kritische Systeme in ihrer eigenen Zeit sorgfältig wartet, ein schwer zu verstehendes Konzept, aber das liegt in der Natur der Open-Source-Entwicklung, und es ist nach wie vor ein Bereich, in dem Sicherheitsexperten, die die Lieferkette schützen, ein kritisches Risiko darstellt.
Open-Source-Software ist ein wichtiger Bestandteil des digitalen Ökosystems praktisch jedes Unternehmens, und vertrauenswürdige Betreuer (von denen die meisten in gutem Glauben handeln) sind wirklich heldenhaft in ihrem selbstlosen Streben nach technischem Fortschritt und Integrität, aber es ist eine Farce, sie isoliert liefern zu lassen. In diesen Zeiten, in denen DevSecops im Mittelpunkt stehen, ist Sicherheit eine gemeinsame Verantwortung, und jeder Entwickler muss mit dem Wissen und den richtigen Tools ausgestattet sein, um die Sicherheitsprobleme zu bewältigen, denen er in seinem Arbeitsalltag wahrscheinlich begegnen wird. Sicherheitsbewusstsein und praktische Fähigkeiten sollten im Softwareentwicklungsprozess nicht verhandelbar sein, und es liegt an den Sicherheitsverantwortlichen, Veränderungen auf Unternehmensebene zu beeinflussen.
Bauen Sie noch heute eine blühende Sicherheitskultur in Ihrem Unternehmen auf mit detaillierten Lehrveranstaltungen von Secure Code Warrior.
Eine kritische Sicherheitslücke, CVE-2024-3094, wurde in der Datenkomprimierungsbibliothek XZ Utils entdeckt, die von großen Linux-Distributionen verwendet wird und durch eine Hintertür von einem Bedrohungsakteur eingeführt wurde. Dieses hochgradige Problem ermöglicht eine potenzielle Codeausführung aus der Ferne und stellt ein erhebliches Risiko für Softwareerstellungsprozesse dar. Der Fehler betrifft frühe Versionen (5.6.0 und 5.6.1) von XZ Utils in Fedora Rawhide. Unternehmen werden dringend aufgefordert, Patches zu implementieren. Der Vorfall unterstreicht die entscheidende Rolle von Freiwilligen aus der Community bei der Wartung von Open-Source-Software und unterstreicht die Notwendigkeit verbesserter Sicherheitspraktiken und Zugriffskontrollen innerhalb des Softwareentwicklungszyklus.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Nach der Entdeckung eines heimtückischen Kompromisses in der Software-Lieferkette wurde die Cybersicherheitsbranche erneut in höchste Alarmbereitschaft versetzt. Die Sicherheitslücke, die die XZ Utils-Datenkomprimierungsbibliothek betrifft, die im Lieferumfang der wichtigsten Linux-Distributionen enthalten ist, ist unter CVE-2024-3094 protokolliert und läuft auf eine Hintertür hinaus, die bewusst von einem einst vertrauenswürdigen freiwilligen Systembetreuer eingefügt wurde. Sie ermöglicht in einigen Fällen die Ausführung von Remotecode (RCE), wenn sie erfolgreich ausgenutzt wird, und stellt ein schwerwiegendes Problem dar, das in etablierten Software-Build-Prozessen schweren Schaden anrichten kann.
Zum Glück entdeckte ein anderer Betreuer diese Bedrohung, bevor der bösartige Code in stabile Linux-Versionen gelangte, aber sie stellt immer noch ein Problem für diejenigen dar, die mit den Versionen 5.6.0. und 5.6.1 von XZ Utils als Teil von Fedora Rawhide begonnen haben, und Organisationen sind zum Patchen gedrängt es hat Priorität auf Notfallebene. Wenn diese Entdeckung nicht rechtzeitig gemacht würde, wäre es aufgrund des Risikoprofils einer der verheerendsten Supply-Chain-Angriffe aller Zeiten, der SolarWinds vielleicht sogar in den Schatten stellen würde.
Die Abhängigkeit von Freiwilligen aus der Gemeinde bei der Wartung kritischer Systeme ist umfassend dokumentiert, wird jedoch nur selten erörtert, bis schwerwiegende Probleme wie dieser Vorfall an die Oberfläche kommen. Ihre unermüdliche Arbeit ist zwar für die Wartung von Open-Source-Software unerlässlich, dies unterstreicht jedoch die Notwendigkeit, den Sicherheitskompetenzen und dem Sicherheitsbewusstsein auf Entwicklerebene große Bedeutung beizumessen, ganz zu schweigen von verschärften Zugriffskontrollen rund um Software-Repositorys.
Was ist die XZ Utils-Hintertür und wie wird sie entschärft?
Am 29. März, Red Hat hat eine dringende Sicherheitswarnung veröffentlicht um Benutzer von Fedora Linux 4.0 und Fedora Rawhide darüber zu informieren, dass die neuesten Versionen der „XZ“ -Komprimierungstools und -Bibliotheken bösartigen Code enthalten, der offenbar speziell entwickelt wurde, um unbefugten Zugriff durch Dritte zu erleichtern. Wie dieser bösartige Code eingeschleust wurde, wird in Zukunft wahrscheinlich Gegenstand intensiver Studien sein, aber es handelt sich um eine ausgeklügelte, geduldige und jahrelange Social-Engineering-Übung des Bedrohungsakteurs, eines pseudonymen Angreifers namens „Jia Tan“. Diese Person verbrachte unzählige Stunden damit, das Vertrauen anderer Betreuer zu gewinnen, leistete über zwei Jahre lang legitime Beiträge zum XZ Utils-Projekt und der Community und erlangte schließlich den Status eines „vertrauenswürdigen Betreuers“, nachdem mehrere Sockpuppet-Accounts das Vertrauen in den ehrenamtlichen Projekteigentümer Lasse Collin untergraben hatten:
Dieses ungewöhnliche Szenario ist ein Paradebeispiel dafür, dass eine hochtechnische Person immer noch Opfer von Taktiken wird, die normalerweise nur gegen weniger versierte Personen eingesetzt werden, und zeigt, dass präzise, rollenbasierte Schulungen zum Sicherheitsbewusstsein erforderlich sind. Es war nur der Neugier und dem schnellen Denken des Microsoft-Softwareingenieurs und PostgreSQL-Betreuers zu verdanken. Andres Freund, dass die Hintertür entdeckt und Versionen zurückgesetzt wurden, wodurch der möglicherweise verheerendste Supply-Chain-Angriff der letzten Zeit gestoppt wurde.
Die Hintertür selbst wird offiziell als Sicherheitslücke mit dem höchstmöglichen Schweregrad eingestuft in Das NIST-Register. Ursprünglich wurde angenommen, dass es die Umgehung der SSH-Authentifizierung ermöglicht, aber weitere Untersuchungen ergaben, dass es die unauthentifizierte Remotecodeausführung auf anfälligen Linux-Systemen ermöglichte, darunter Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed und einigen Versionen von Debian.
Jia Tan scheint große Anstrengungen unternommen zu haben, um das bösartige Paket zu verschleiern. Wenn es während des Build-Prozesses dazu veranlasst wird, sich selbst zu erstellen, behindert es die Authentifizierung in SSHD über systemd. Wie Roter Hut detailliert, unter den richtigen Umständen könnte diese Störung es einem Angreifer ermöglichen, die SSHD-Authentifizierung zu durchbrechen und sich unbefugten Fernzugriff auf das gesamte System zu verschaffen.
Microsoft hat unter anderem veröffentlichte umfassende Leitlinien zum Scannen von Systemen nach Exploit-Fällen und zur Abschwächung seiner Auswirkungen sowie zu den empfohlenen Sofortmaßnahmen von CISA ist, dass betroffene Entwickler und Benutzer XZ Utils auf eine kompromisslose Version herunterstufen sollten, wie XZ Utils 5.4.6 Stable.
Es ist unglaublich schwierig, diese Art von Angriffen zu verhindern — insbesondere bei der Verwendung von Open-Source-Komponenten in Software —, da die Sicherheit der Lieferkette kaum gewährleistet und transparent ist. Wir haben bereits versehentliche Fehler in der Software-Lieferkette bekämpft, aber dieses Risiko hat sich auf Sicherheitslücken erhöht, die bewusst böswillig eingepflanzt wurden, um die Open-Source-Sicherheit zu gefährden.
Die meisten Entwickler werden einen Angriff dieser Art nur stoppen können, wenn sie über ein ausgeprägtes Sicherheitsbewusstsein, gesunde Sicherheitskenntnisse und eine Prise Paranoia verfügen. Es geht fast darum, dass die Denkweise eines Bedrohungsakteurs erforderlich ist. Eine Hauptüberlegung sollte sich jedoch immer auf Quellcode-Repositorys konzentrieren, die sind intern gesteuert (d. h. nicht Open Source). Diese sollten nur Personen zugänglich sein, die über nachgewiesene, relevante Sicherheitskenntnisse verfügen. AppSec-Experten könnten eine Einrichtung wie Sicherheitskontrollen auf Filialebene in Betracht ziehen, sodass nur sicherheitserfahrene Entwickler Änderungen am endgültigen Master-Branch vornehmen können.
Freiwillige Betreuer sind Helden, aber es (sollte) ein ganzes Dorf brauchen, um sichere Software aufrechtzuerhalten
Für diejenigen, die nicht im Bereich der Softwaretechnik tätig sind, ist die Vorstellung, dass eine temperamentvolle Gemeinschaft von Freiwilligen kritische Systeme in ihrer eigenen Zeit sorgfältig wartet, ein schwer zu verstehendes Konzept, aber das liegt in der Natur der Open-Source-Entwicklung, und es ist nach wie vor ein Bereich, in dem Sicherheitsexperten, die die Lieferkette schützen, ein kritisches Risiko darstellt.
Open-Source-Software ist ein wichtiger Bestandteil des digitalen Ökosystems praktisch jedes Unternehmens, und vertrauenswürdige Betreuer (von denen die meisten in gutem Glauben handeln) sind wirklich heldenhaft in ihrem selbstlosen Streben nach technischem Fortschritt und Integrität, aber es ist eine Farce, sie isoliert liefern zu lassen. In diesen Zeiten, in denen DevSecops im Mittelpunkt stehen, ist Sicherheit eine gemeinsame Verantwortung, und jeder Entwickler muss mit dem Wissen und den richtigen Tools ausgestattet sein, um die Sicherheitsprobleme zu bewältigen, denen er in seinem Arbeitsalltag wahrscheinlich begegnen wird. Sicherheitsbewusstsein und praktische Fähigkeiten sollten im Softwareentwicklungsprozess nicht verhandelbar sein, und es liegt an den Sicherheitsverantwortlichen, Veränderungen auf Unternehmensebene zu beeinflussen.
Bauen Sie noch heute eine blühende Sicherheitskultur in Ihrem Unternehmen auf mit detaillierten Lehrveranstaltungen von Secure Code Warrior.
Nach der Entdeckung eines heimtückischen Kompromisses in der Software-Lieferkette wurde die Cybersicherheitsbranche erneut in höchste Alarmbereitschaft versetzt. Die Sicherheitslücke, die die XZ Utils-Datenkomprimierungsbibliothek betrifft, die im Lieferumfang der wichtigsten Linux-Distributionen enthalten ist, ist unter CVE-2024-3094 protokolliert und läuft auf eine Hintertür hinaus, die bewusst von einem einst vertrauenswürdigen freiwilligen Systembetreuer eingefügt wurde. Sie ermöglicht in einigen Fällen die Ausführung von Remotecode (RCE), wenn sie erfolgreich ausgenutzt wird, und stellt ein schwerwiegendes Problem dar, das in etablierten Software-Build-Prozessen schweren Schaden anrichten kann.
Zum Glück entdeckte ein anderer Betreuer diese Bedrohung, bevor der bösartige Code in stabile Linux-Versionen gelangte, aber sie stellt immer noch ein Problem für diejenigen dar, die mit den Versionen 5.6.0. und 5.6.1 von XZ Utils als Teil von Fedora Rawhide begonnen haben, und Organisationen sind zum Patchen gedrängt es hat Priorität auf Notfallebene. Wenn diese Entdeckung nicht rechtzeitig gemacht würde, wäre es aufgrund des Risikoprofils einer der verheerendsten Supply-Chain-Angriffe aller Zeiten, der SolarWinds vielleicht sogar in den Schatten stellen würde.
Die Abhängigkeit von Freiwilligen aus der Gemeinde bei der Wartung kritischer Systeme ist umfassend dokumentiert, wird jedoch nur selten erörtert, bis schwerwiegende Probleme wie dieser Vorfall an die Oberfläche kommen. Ihre unermüdliche Arbeit ist zwar für die Wartung von Open-Source-Software unerlässlich, dies unterstreicht jedoch die Notwendigkeit, den Sicherheitskompetenzen und dem Sicherheitsbewusstsein auf Entwicklerebene große Bedeutung beizumessen, ganz zu schweigen von verschärften Zugriffskontrollen rund um Software-Repositorys.
Was ist die XZ Utils-Hintertür und wie wird sie entschärft?
Am 29. März, Red Hat hat eine dringende Sicherheitswarnung veröffentlicht um Benutzer von Fedora Linux 4.0 und Fedora Rawhide darüber zu informieren, dass die neuesten Versionen der „XZ“ -Komprimierungstools und -Bibliotheken bösartigen Code enthalten, der offenbar speziell entwickelt wurde, um unbefugten Zugriff durch Dritte zu erleichtern. Wie dieser bösartige Code eingeschleust wurde, wird in Zukunft wahrscheinlich Gegenstand intensiver Studien sein, aber es handelt sich um eine ausgeklügelte, geduldige und jahrelange Social-Engineering-Übung des Bedrohungsakteurs, eines pseudonymen Angreifers namens „Jia Tan“. Diese Person verbrachte unzählige Stunden damit, das Vertrauen anderer Betreuer zu gewinnen, leistete über zwei Jahre lang legitime Beiträge zum XZ Utils-Projekt und der Community und erlangte schließlich den Status eines „vertrauenswürdigen Betreuers“, nachdem mehrere Sockpuppet-Accounts das Vertrauen in den ehrenamtlichen Projekteigentümer Lasse Collin untergraben hatten:
Dieses ungewöhnliche Szenario ist ein Paradebeispiel dafür, dass eine hochtechnische Person immer noch Opfer von Taktiken wird, die normalerweise nur gegen weniger versierte Personen eingesetzt werden, und zeigt, dass präzise, rollenbasierte Schulungen zum Sicherheitsbewusstsein erforderlich sind. Es war nur der Neugier und dem schnellen Denken des Microsoft-Softwareingenieurs und PostgreSQL-Betreuers zu verdanken. Andres Freund, dass die Hintertür entdeckt und Versionen zurückgesetzt wurden, wodurch der möglicherweise verheerendste Supply-Chain-Angriff der letzten Zeit gestoppt wurde.
Die Hintertür selbst wird offiziell als Sicherheitslücke mit dem höchstmöglichen Schweregrad eingestuft in Das NIST-Register. Ursprünglich wurde angenommen, dass es die Umgehung der SSH-Authentifizierung ermöglicht, aber weitere Untersuchungen ergaben, dass es die unauthentifizierte Remotecodeausführung auf anfälligen Linux-Systemen ermöglichte, darunter Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed und einigen Versionen von Debian.
Jia Tan scheint große Anstrengungen unternommen zu haben, um das bösartige Paket zu verschleiern. Wenn es während des Build-Prozesses dazu veranlasst wird, sich selbst zu erstellen, behindert es die Authentifizierung in SSHD über systemd. Wie Roter Hut detailliert, unter den richtigen Umständen könnte diese Störung es einem Angreifer ermöglichen, die SSHD-Authentifizierung zu durchbrechen und sich unbefugten Fernzugriff auf das gesamte System zu verschaffen.
Microsoft hat unter anderem veröffentlichte umfassende Leitlinien zum Scannen von Systemen nach Exploit-Fällen und zur Abschwächung seiner Auswirkungen sowie zu den empfohlenen Sofortmaßnahmen von CISA ist, dass betroffene Entwickler und Benutzer XZ Utils auf eine kompromisslose Version herunterstufen sollten, wie XZ Utils 5.4.6 Stable.
Es ist unglaublich schwierig, diese Art von Angriffen zu verhindern — insbesondere bei der Verwendung von Open-Source-Komponenten in Software —, da die Sicherheit der Lieferkette kaum gewährleistet und transparent ist. Wir haben bereits versehentliche Fehler in der Software-Lieferkette bekämpft, aber dieses Risiko hat sich auf Sicherheitslücken erhöht, die bewusst böswillig eingepflanzt wurden, um die Open-Source-Sicherheit zu gefährden.
Die meisten Entwickler werden einen Angriff dieser Art nur stoppen können, wenn sie über ein ausgeprägtes Sicherheitsbewusstsein, gesunde Sicherheitskenntnisse und eine Prise Paranoia verfügen. Es geht fast darum, dass die Denkweise eines Bedrohungsakteurs erforderlich ist. Eine Hauptüberlegung sollte sich jedoch immer auf Quellcode-Repositorys konzentrieren, die sind intern gesteuert (d. h. nicht Open Source). Diese sollten nur Personen zugänglich sein, die über nachgewiesene, relevante Sicherheitskenntnisse verfügen. AppSec-Experten könnten eine Einrichtung wie Sicherheitskontrollen auf Filialebene in Betracht ziehen, sodass nur sicherheitserfahrene Entwickler Änderungen am endgültigen Master-Branch vornehmen können.
Freiwillige Betreuer sind Helden, aber es (sollte) ein ganzes Dorf brauchen, um sichere Software aufrechtzuerhalten
Für diejenigen, die nicht im Bereich der Softwaretechnik tätig sind, ist die Vorstellung, dass eine temperamentvolle Gemeinschaft von Freiwilligen kritische Systeme in ihrer eigenen Zeit sorgfältig wartet, ein schwer zu verstehendes Konzept, aber das liegt in der Natur der Open-Source-Entwicklung, und es ist nach wie vor ein Bereich, in dem Sicherheitsexperten, die die Lieferkette schützen, ein kritisches Risiko darstellt.
Open-Source-Software ist ein wichtiger Bestandteil des digitalen Ökosystems praktisch jedes Unternehmens, und vertrauenswürdige Betreuer (von denen die meisten in gutem Glauben handeln) sind wirklich heldenhaft in ihrem selbstlosen Streben nach technischem Fortschritt und Integrität, aber es ist eine Farce, sie isoliert liefern zu lassen. In diesen Zeiten, in denen DevSecops im Mittelpunkt stehen, ist Sicherheit eine gemeinsame Verantwortung, und jeder Entwickler muss mit dem Wissen und den richtigen Tools ausgestattet sein, um die Sicherheitsprobleme zu bewältigen, denen er in seinem Arbeitsalltag wahrscheinlich begegnen wird. Sicherheitsbewusstsein und praktische Fähigkeiten sollten im Softwareentwicklungsprozess nicht verhandelbar sein, und es liegt an den Sicherheitsverantwortlichen, Veränderungen auf Unternehmensebene zu beeinflussen.
Bauen Sie noch heute eine blühende Sicherheitskultur in Ihrem Unternehmen auf mit detaillierten Lehrveranstaltungen von Secure Code Warrior.
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Nach der Entdeckung eines heimtückischen Kompromisses in der Software-Lieferkette wurde die Cybersicherheitsbranche erneut in höchste Alarmbereitschaft versetzt. Die Sicherheitslücke, die die XZ Utils-Datenkomprimierungsbibliothek betrifft, die im Lieferumfang der wichtigsten Linux-Distributionen enthalten ist, ist unter CVE-2024-3094 protokolliert und läuft auf eine Hintertür hinaus, die bewusst von einem einst vertrauenswürdigen freiwilligen Systembetreuer eingefügt wurde. Sie ermöglicht in einigen Fällen die Ausführung von Remotecode (RCE), wenn sie erfolgreich ausgenutzt wird, und stellt ein schwerwiegendes Problem dar, das in etablierten Software-Build-Prozessen schweren Schaden anrichten kann.
Zum Glück entdeckte ein anderer Betreuer diese Bedrohung, bevor der bösartige Code in stabile Linux-Versionen gelangte, aber sie stellt immer noch ein Problem für diejenigen dar, die mit den Versionen 5.6.0. und 5.6.1 von XZ Utils als Teil von Fedora Rawhide begonnen haben, und Organisationen sind zum Patchen gedrängt es hat Priorität auf Notfallebene. Wenn diese Entdeckung nicht rechtzeitig gemacht würde, wäre es aufgrund des Risikoprofils einer der verheerendsten Supply-Chain-Angriffe aller Zeiten, der SolarWinds vielleicht sogar in den Schatten stellen würde.
Die Abhängigkeit von Freiwilligen aus der Gemeinde bei der Wartung kritischer Systeme ist umfassend dokumentiert, wird jedoch nur selten erörtert, bis schwerwiegende Probleme wie dieser Vorfall an die Oberfläche kommen. Ihre unermüdliche Arbeit ist zwar für die Wartung von Open-Source-Software unerlässlich, dies unterstreicht jedoch die Notwendigkeit, den Sicherheitskompetenzen und dem Sicherheitsbewusstsein auf Entwicklerebene große Bedeutung beizumessen, ganz zu schweigen von verschärften Zugriffskontrollen rund um Software-Repositorys.
Was ist die XZ Utils-Hintertür und wie wird sie entschärft?
Am 29. März, Red Hat hat eine dringende Sicherheitswarnung veröffentlicht um Benutzer von Fedora Linux 4.0 und Fedora Rawhide darüber zu informieren, dass die neuesten Versionen der „XZ“ -Komprimierungstools und -Bibliotheken bösartigen Code enthalten, der offenbar speziell entwickelt wurde, um unbefugten Zugriff durch Dritte zu erleichtern. Wie dieser bösartige Code eingeschleust wurde, wird in Zukunft wahrscheinlich Gegenstand intensiver Studien sein, aber es handelt sich um eine ausgeklügelte, geduldige und jahrelange Social-Engineering-Übung des Bedrohungsakteurs, eines pseudonymen Angreifers namens „Jia Tan“. Diese Person verbrachte unzählige Stunden damit, das Vertrauen anderer Betreuer zu gewinnen, leistete über zwei Jahre lang legitime Beiträge zum XZ Utils-Projekt und der Community und erlangte schließlich den Status eines „vertrauenswürdigen Betreuers“, nachdem mehrere Sockpuppet-Accounts das Vertrauen in den ehrenamtlichen Projekteigentümer Lasse Collin untergraben hatten:
Dieses ungewöhnliche Szenario ist ein Paradebeispiel dafür, dass eine hochtechnische Person immer noch Opfer von Taktiken wird, die normalerweise nur gegen weniger versierte Personen eingesetzt werden, und zeigt, dass präzise, rollenbasierte Schulungen zum Sicherheitsbewusstsein erforderlich sind. Es war nur der Neugier und dem schnellen Denken des Microsoft-Softwareingenieurs und PostgreSQL-Betreuers zu verdanken. Andres Freund, dass die Hintertür entdeckt und Versionen zurückgesetzt wurden, wodurch der möglicherweise verheerendste Supply-Chain-Angriff der letzten Zeit gestoppt wurde.
Die Hintertür selbst wird offiziell als Sicherheitslücke mit dem höchstmöglichen Schweregrad eingestuft in Das NIST-Register. Ursprünglich wurde angenommen, dass es die Umgehung der SSH-Authentifizierung ermöglicht, aber weitere Untersuchungen ergaben, dass es die unauthentifizierte Remotecodeausführung auf anfälligen Linux-Systemen ermöglichte, darunter Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed und einigen Versionen von Debian.
Jia Tan scheint große Anstrengungen unternommen zu haben, um das bösartige Paket zu verschleiern. Wenn es während des Build-Prozesses dazu veranlasst wird, sich selbst zu erstellen, behindert es die Authentifizierung in SSHD über systemd. Wie Roter Hut detailliert, unter den richtigen Umständen könnte diese Störung es einem Angreifer ermöglichen, die SSHD-Authentifizierung zu durchbrechen und sich unbefugten Fernzugriff auf das gesamte System zu verschaffen.
Microsoft hat unter anderem veröffentlichte umfassende Leitlinien zum Scannen von Systemen nach Exploit-Fällen und zur Abschwächung seiner Auswirkungen sowie zu den empfohlenen Sofortmaßnahmen von CISA ist, dass betroffene Entwickler und Benutzer XZ Utils auf eine kompromisslose Version herunterstufen sollten, wie XZ Utils 5.4.6 Stable.
Es ist unglaublich schwierig, diese Art von Angriffen zu verhindern — insbesondere bei der Verwendung von Open-Source-Komponenten in Software —, da die Sicherheit der Lieferkette kaum gewährleistet und transparent ist. Wir haben bereits versehentliche Fehler in der Software-Lieferkette bekämpft, aber dieses Risiko hat sich auf Sicherheitslücken erhöht, die bewusst böswillig eingepflanzt wurden, um die Open-Source-Sicherheit zu gefährden.
Die meisten Entwickler werden einen Angriff dieser Art nur stoppen können, wenn sie über ein ausgeprägtes Sicherheitsbewusstsein, gesunde Sicherheitskenntnisse und eine Prise Paranoia verfügen. Es geht fast darum, dass die Denkweise eines Bedrohungsakteurs erforderlich ist. Eine Hauptüberlegung sollte sich jedoch immer auf Quellcode-Repositorys konzentrieren, die sind intern gesteuert (d. h. nicht Open Source). Diese sollten nur Personen zugänglich sein, die über nachgewiesene, relevante Sicherheitskenntnisse verfügen. AppSec-Experten könnten eine Einrichtung wie Sicherheitskontrollen auf Filialebene in Betracht ziehen, sodass nur sicherheitserfahrene Entwickler Änderungen am endgültigen Master-Branch vornehmen können.
Freiwillige Betreuer sind Helden, aber es (sollte) ein ganzes Dorf brauchen, um sichere Software aufrechtzuerhalten
Für diejenigen, die nicht im Bereich der Softwaretechnik tätig sind, ist die Vorstellung, dass eine temperamentvolle Gemeinschaft von Freiwilligen kritische Systeme in ihrer eigenen Zeit sorgfältig wartet, ein schwer zu verstehendes Konzept, aber das liegt in der Natur der Open-Source-Entwicklung, und es ist nach wie vor ein Bereich, in dem Sicherheitsexperten, die die Lieferkette schützen, ein kritisches Risiko darstellt.
Open-Source-Software ist ein wichtiger Bestandteil des digitalen Ökosystems praktisch jedes Unternehmens, und vertrauenswürdige Betreuer (von denen die meisten in gutem Glauben handeln) sind wirklich heldenhaft in ihrem selbstlosen Streben nach technischem Fortschritt und Integrität, aber es ist eine Farce, sie isoliert liefern zu lassen. In diesen Zeiten, in denen DevSecops im Mittelpunkt stehen, ist Sicherheit eine gemeinsame Verantwortung, und jeder Entwickler muss mit dem Wissen und den richtigen Tools ausgestattet sein, um die Sicherheitsprobleme zu bewältigen, denen er in seinem Arbeitsalltag wahrscheinlich begegnen wird. Sicherheitsbewusstsein und praktische Fähigkeiten sollten im Softwareentwicklungsprozess nicht verhandelbar sein, und es liegt an den Sicherheitsverantwortlichen, Veränderungen auf Unternehmensebene zu beeinflussen.
Bauen Sie noch heute eine blühende Sicherheitskultur in Ihrem Unternehmen auf mit detaillierten Lehrveranstaltungen von Secure Code Warrior.
Inhaltsverzeichniss
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
