La porte dérobée de XZ Utils sous Linux met en évidence un problème plus vaste de sécurité de la chaîne d'approvisionnement, et nous avons besoin de plus que l'esprit communautaire pour le maîtriser
Le secteur de la cybersécurité a de nouveau été placé en état d'alerte suite à la découverte d'une compromission insidieuse de la chaîne d'approvisionnement logicielle. La vulnérabilité, qui affecte la bibliothèque de compression de données XZ Utils fournie avec les principales distributions Linux, est enregistrée sous CVE-2024-3094 et se résume à une porte dérobée délibérément insérée par un mainteneur volontaire du système autrefois fiable. Autorisant l'exécution de code à distance (RCE) dans certains cas s'il est exploité avec succès, il représente un problème très grave susceptible de provoquer de graves dommages dans les processus de création de logiciels établis.
Heureusement, un autre responsable a découvert cette menace avant que le code malveillant n'entre dans les versions stables de Linux, mais elle pose toujours un problème à ceux qui ont commencé à utiliser les versions 5.6.0. et 5.6.1 de XZ Utils dans le cadre de Fedora Rawhide, et les organisations invité à patcher en tant que priorité en cas d'urgence. Si cette découverte n'était pas faite à temps, le profil de risque en ferait l'une des attaques les plus dévastatrices jamais enregistrées sur la chaîne d'approvisionnement, éclipsant peut-être même SolarWinds.
La dépendance à l'égard des bénévoles communautaires pour la maintenance des systèmes critiques est largement documentée, mais rarement abordée avant que des problèmes à fort impact tels que cet incident ne fassent surface. Bien que leur travail inlassable soit essentiel à la maintenance des logiciels libres, cela met en évidence la nécessité de mettre sérieusement l'accent sur les compétences en matière de sécurité et de sensibilisation au niveau des développeurs, sans oublier de renforcer les contrôles d'accès aux dépôts de logiciels.
Qu'est-ce que la porte dérobée XZ Utils et comment est-elle atténuée ?
Le 29 mars, Red Hat a publié une alerte de sécurité urgente pour informer les utilisateurs de Fedora Linux 4.0 et de Fedora Rawhide que les dernières versions des outils de compression et des bibliothèques « XZ » contiennent du code malveillant qui semble avoir été spécialement conçu pour faciliter l'accès non autorisé à des tiers. La manière dont ce code malveillant a été injecté fera probablement l'objet d'études approfondies à l'avenir, mais il s'agit d'un exercice d'ingénierie sociale sophistiqué, patient et long de la part de l'acteur de la menace, un attaquant pseudonyme appelé Jia Tan ». Cette personne a passé d'innombrables heures à gagner la confiance des autres responsables, à apporter des contributions légitimes au projet et à la communauté XZ Utils pendant plus de deux ans, pour finalement obtenir le statut de « mainteneur de confiance » après que plusieurs comptes de marionnettes aient érodé la confiance en le propriétaire bénévole du projet, Lasse Collin :
Ce scénario inhabituel est un excellent exemple d'une personne hautement technique qui est toujours victime de tactiques généralement réservées à des personnes moins averties, ce qui montre la nécessité d'une formation de sensibilisation à la sécurité précise et basée sur les rôles. C'était uniquement grâce à la curiosité et à la rapidité d'esprit de l'ingénieur logiciel Microsoft et du responsable de PostgreSQL, Andrés Freund, que la porte dérobée a été découverte et que les versions ont été annulées, mettant ainsi fin à ce qui aurait pu être l'attaque de chaîne d'approvisionnement la plus dévastatrice de l'histoire récente.
La porte dérobée elle-même est officiellement considérée comme une vulnérabilité de la plus haute gravité possible dans Registre du NIST. Initialement considéré comme permettant le contournement de l'authentification SSH, une enquête plus approfondie a révélé qu'il permettait l'exécution de code à distance non authentifiée sur des systèmes Linux vulnérables, notamment Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed et certaines versions de Debian.
Jia Tan semble avoir fait de grands efforts pour masquer le package malveillant qui, lorsqu'il est déclenché pour se construire pendant le processus de génération, entrave l'authentification dans SSHD via systemd. Comme Chapeau rouge détaillé, si les circonstances s'y prêtent, cette interférence pourrait potentiellement permettre à un attaquant de rompre l'authentification SSHD et d'obtenir un accès non autorisé à distance à l'ensemble du système.
Microsoft, entre autres, a des directives complètes publiées sur l'analyse des systèmes à la recherche d'instances de l'exploit et sur l'atténuation de ses effets, et sur les mesures immédiates recommandées par CISA est que les développeurs et utilisateurs concernés doivent rétrograder XZ Utils vers une version non compromise, comme XZ Utils 5.4.6 Stable.
Il est extrêmement difficile de prévenir ce type d'attaque, en particulier lorsqu'il s'agit d'utiliser des composants open source dans les logiciels, car la sécurité de la chaîne d'approvisionnement est très limitée et peu transparente. Nous avons déjà combattu des failles accidentelles dans la chaîne d'approvisionnement logicielle, mais ce risque s'est accru et inclut désormais des bogues de sécurité délibérément implantés dans le but de compromettre la sécurité des logiciels libres.
La plupart des développeurs ne seront pas en mesure de stopper une attaque de cette nature s'ils n'ont pas un sens aigu de la sécurité, de solides connaissances en matière de sécurité et un soupçon de paranoïa. Il s'agit presque d'exiger un état d'esprit d'acteur de la menace. Cependant, une considération principale doit toujours se concentrer sur les dépôts de code source qui sont contrôlé en interne (c'est-à-dire non open source). Ils ne devraient être accessibles qu'aux personnes possédant des compétences de sécurité pertinentes et vérifiées. Les professionnels de l'AppSec peuvent envisager une configuration telle que des contrôles de sécurité au niveau de la branche, permettant uniquement aux développeurs expérimentés en matière de sécurité d'apporter des modifications à la branche principale finale.
Les mainteneurs bénévoles sont des héros, mais il faut (devrait) tout un village pour maintenir un logiciel sécurisé
Pour ceux qui ne travaillent pas dans le domaine du génie logiciel, il est difficile de comprendre qu'une communauté dynamique de bénévoles entretienne minutieusement des systèmes critiques à leur rythme, mais c'est la nature du développement open source, qui continue de représenter un risque critique pour les professionnels de la sécurité qui protègent la chaîne d'approvisionnement.
Les logiciels libres constituent un élément essentiel de l'écosystème numérique de pratiquement toutes les entreprises, et les responsables de confiance (dont la plupart agissent de bonne foi) font preuve d'un véritable héroïsme dans leur quête désintéressée du progrès technologique et de l'intégrité, mais il est ridicule de les laisser livrer de manière isolée. En ces temps centrés sur DevSecOps, la sécurité est une responsabilité partagée, et chaque développeur doit disposer des connaissances et des outils adaptés pour gérer les problèmes de sécurité qu'il est susceptible de rencontrer au cours de sa journée de travail. La sensibilisation à la sécurité et les compétences pratiques ne devraient pas être négociables dans le processus de développement logiciel, et il appartient aux responsables de la sécurité d'influencer le changement au niveau de l'entreprise.
Instaurez dès aujourd'hui une culture de sécurité florissante au sein de votre organisation grâce à Cours de Secure Code Warrior.
Une vulnérabilité critique, CVE-2024-3094, a été découverte dans la bibliothèque de compression de données XZ Utils utilisée par les principales distributions Linux, introduite par une porte dérobée par un acteur malveillant. Ce problème très grave peut entraîner l'exécution de code à distance, ce qui présente des risques importants pour les processus de création de logiciels. La faille affecte les premières versions (5.6.0 et 5.6.1) de XZ Utils dans Fedora Rawhide, avec un appel urgent aux organisations pour qu'elles mettent en œuvre des correctifs. L'incident souligne le rôle essentiel des bénévoles de la communauté dans la maintenance des logiciels open source et souligne la nécessité de renforcer les pratiques de sécurité et le contrôle d'accès tout au long du cycle de développement des logiciels.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Le secteur de la cybersécurité a de nouveau été placé en état d'alerte suite à la découverte d'une compromission insidieuse de la chaîne d'approvisionnement logicielle. La vulnérabilité, qui affecte la bibliothèque de compression de données XZ Utils fournie avec les principales distributions Linux, est enregistrée sous CVE-2024-3094 et se résume à une porte dérobée délibérément insérée par un mainteneur volontaire du système autrefois fiable. Autorisant l'exécution de code à distance (RCE) dans certains cas s'il est exploité avec succès, il représente un problème très grave susceptible de provoquer de graves dommages dans les processus de création de logiciels établis.
Heureusement, un autre responsable a découvert cette menace avant que le code malveillant n'entre dans les versions stables de Linux, mais elle pose toujours un problème à ceux qui ont commencé à utiliser les versions 5.6.0. et 5.6.1 de XZ Utils dans le cadre de Fedora Rawhide, et les organisations invité à patcher en tant que priorité en cas d'urgence. Si cette découverte n'était pas faite à temps, le profil de risque en ferait l'une des attaques les plus dévastatrices jamais enregistrées sur la chaîne d'approvisionnement, éclipsant peut-être même SolarWinds.
La dépendance à l'égard des bénévoles communautaires pour la maintenance des systèmes critiques est largement documentée, mais rarement abordée avant que des problèmes à fort impact tels que cet incident ne fassent surface. Bien que leur travail inlassable soit essentiel à la maintenance des logiciels libres, cela met en évidence la nécessité de mettre sérieusement l'accent sur les compétences en matière de sécurité et de sensibilisation au niveau des développeurs, sans oublier de renforcer les contrôles d'accès aux dépôts de logiciels.
Qu'est-ce que la porte dérobée XZ Utils et comment est-elle atténuée ?
Le 29 mars, Red Hat a publié une alerte de sécurité urgente pour informer les utilisateurs de Fedora Linux 4.0 et de Fedora Rawhide que les dernières versions des outils de compression et des bibliothèques « XZ » contiennent du code malveillant qui semble avoir été spécialement conçu pour faciliter l'accès non autorisé à des tiers. La manière dont ce code malveillant a été injecté fera probablement l'objet d'études approfondies à l'avenir, mais il s'agit d'un exercice d'ingénierie sociale sophistiqué, patient et long de la part de l'acteur de la menace, un attaquant pseudonyme appelé Jia Tan ». Cette personne a passé d'innombrables heures à gagner la confiance des autres responsables, à apporter des contributions légitimes au projet et à la communauté XZ Utils pendant plus de deux ans, pour finalement obtenir le statut de « mainteneur de confiance » après que plusieurs comptes de marionnettes aient érodé la confiance en le propriétaire bénévole du projet, Lasse Collin :
Ce scénario inhabituel est un excellent exemple d'une personne hautement technique qui est toujours victime de tactiques généralement réservées à des personnes moins averties, ce qui montre la nécessité d'une formation de sensibilisation à la sécurité précise et basée sur les rôles. C'était uniquement grâce à la curiosité et à la rapidité d'esprit de l'ingénieur logiciel Microsoft et du responsable de PostgreSQL, Andrés Freund, que la porte dérobée a été découverte et que les versions ont été annulées, mettant ainsi fin à ce qui aurait pu être l'attaque de chaîne d'approvisionnement la plus dévastatrice de l'histoire récente.
La porte dérobée elle-même est officiellement considérée comme une vulnérabilité de la plus haute gravité possible dans Registre du NIST. Initialement considéré comme permettant le contournement de l'authentification SSH, une enquête plus approfondie a révélé qu'il permettait l'exécution de code à distance non authentifiée sur des systèmes Linux vulnérables, notamment Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed et certaines versions de Debian.
Jia Tan semble avoir fait de grands efforts pour masquer le package malveillant qui, lorsqu'il est déclenché pour se construire pendant le processus de génération, entrave l'authentification dans SSHD via systemd. Comme Chapeau rouge détaillé, si les circonstances s'y prêtent, cette interférence pourrait potentiellement permettre à un attaquant de rompre l'authentification SSHD et d'obtenir un accès non autorisé à distance à l'ensemble du système.
Microsoft, entre autres, a des directives complètes publiées sur l'analyse des systèmes à la recherche d'instances de l'exploit et sur l'atténuation de ses effets, et sur les mesures immédiates recommandées par CISA est que les développeurs et utilisateurs concernés doivent rétrograder XZ Utils vers une version non compromise, comme XZ Utils 5.4.6 Stable.
Il est extrêmement difficile de prévenir ce type d'attaque, en particulier lorsqu'il s'agit d'utiliser des composants open source dans les logiciels, car la sécurité de la chaîne d'approvisionnement est très limitée et peu transparente. Nous avons déjà combattu des failles accidentelles dans la chaîne d'approvisionnement logicielle, mais ce risque s'est accru et inclut désormais des bogues de sécurité délibérément implantés dans le but de compromettre la sécurité des logiciels libres.
La plupart des développeurs ne seront pas en mesure de stopper une attaque de cette nature s'ils n'ont pas un sens aigu de la sécurité, de solides connaissances en matière de sécurité et un soupçon de paranoïa. Il s'agit presque d'exiger un état d'esprit d'acteur de la menace. Cependant, une considération principale doit toujours se concentrer sur les dépôts de code source qui sont contrôlé en interne (c'est-à-dire non open source). Ils ne devraient être accessibles qu'aux personnes possédant des compétences de sécurité pertinentes et vérifiées. Les professionnels de l'AppSec peuvent envisager une configuration telle que des contrôles de sécurité au niveau de la branche, permettant uniquement aux développeurs expérimentés en matière de sécurité d'apporter des modifications à la branche principale finale.
Les mainteneurs bénévoles sont des héros, mais il faut (devrait) tout un village pour maintenir un logiciel sécurisé
Pour ceux qui ne travaillent pas dans le domaine du génie logiciel, il est difficile de comprendre qu'une communauté dynamique de bénévoles entretienne minutieusement des systèmes critiques à leur rythme, mais c'est la nature du développement open source, qui continue de représenter un risque critique pour les professionnels de la sécurité qui protègent la chaîne d'approvisionnement.
Les logiciels libres constituent un élément essentiel de l'écosystème numérique de pratiquement toutes les entreprises, et les responsables de confiance (dont la plupart agissent de bonne foi) font preuve d'un véritable héroïsme dans leur quête désintéressée du progrès technologique et de l'intégrité, mais il est ridicule de les laisser livrer de manière isolée. En ces temps centrés sur DevSecOps, la sécurité est une responsabilité partagée, et chaque développeur doit disposer des connaissances et des outils adaptés pour gérer les problèmes de sécurité qu'il est susceptible de rencontrer au cours de sa journée de travail. La sensibilisation à la sécurité et les compétences pratiques ne devraient pas être négociables dans le processus de développement logiciel, et il appartient aux responsables de la sécurité d'influencer le changement au niveau de l'entreprise.
Instaurez dès aujourd'hui une culture de sécurité florissante au sein de votre organisation grâce à Cours de Secure Code Warrior.
Le secteur de la cybersécurité a de nouveau été placé en état d'alerte suite à la découverte d'une compromission insidieuse de la chaîne d'approvisionnement logicielle. La vulnérabilité, qui affecte la bibliothèque de compression de données XZ Utils fournie avec les principales distributions Linux, est enregistrée sous CVE-2024-3094 et se résume à une porte dérobée délibérément insérée par un mainteneur volontaire du système autrefois fiable. Autorisant l'exécution de code à distance (RCE) dans certains cas s'il est exploité avec succès, il représente un problème très grave susceptible de provoquer de graves dommages dans les processus de création de logiciels établis.
Heureusement, un autre responsable a découvert cette menace avant que le code malveillant n'entre dans les versions stables de Linux, mais elle pose toujours un problème à ceux qui ont commencé à utiliser les versions 5.6.0. et 5.6.1 de XZ Utils dans le cadre de Fedora Rawhide, et les organisations invité à patcher en tant que priorité en cas d'urgence. Si cette découverte n'était pas faite à temps, le profil de risque en ferait l'une des attaques les plus dévastatrices jamais enregistrées sur la chaîne d'approvisionnement, éclipsant peut-être même SolarWinds.
La dépendance à l'égard des bénévoles communautaires pour la maintenance des systèmes critiques est largement documentée, mais rarement abordée avant que des problèmes à fort impact tels que cet incident ne fassent surface. Bien que leur travail inlassable soit essentiel à la maintenance des logiciels libres, cela met en évidence la nécessité de mettre sérieusement l'accent sur les compétences en matière de sécurité et de sensibilisation au niveau des développeurs, sans oublier de renforcer les contrôles d'accès aux dépôts de logiciels.
Qu'est-ce que la porte dérobée XZ Utils et comment est-elle atténuée ?
Le 29 mars, Red Hat a publié une alerte de sécurité urgente pour informer les utilisateurs de Fedora Linux 4.0 et de Fedora Rawhide que les dernières versions des outils de compression et des bibliothèques « XZ » contiennent du code malveillant qui semble avoir été spécialement conçu pour faciliter l'accès non autorisé à des tiers. La manière dont ce code malveillant a été injecté fera probablement l'objet d'études approfondies à l'avenir, mais il s'agit d'un exercice d'ingénierie sociale sophistiqué, patient et long de la part de l'acteur de la menace, un attaquant pseudonyme appelé Jia Tan ». Cette personne a passé d'innombrables heures à gagner la confiance des autres responsables, à apporter des contributions légitimes au projet et à la communauté XZ Utils pendant plus de deux ans, pour finalement obtenir le statut de « mainteneur de confiance » après que plusieurs comptes de marionnettes aient érodé la confiance en le propriétaire bénévole du projet, Lasse Collin :
Ce scénario inhabituel est un excellent exemple d'une personne hautement technique qui est toujours victime de tactiques généralement réservées à des personnes moins averties, ce qui montre la nécessité d'une formation de sensibilisation à la sécurité précise et basée sur les rôles. C'était uniquement grâce à la curiosité et à la rapidité d'esprit de l'ingénieur logiciel Microsoft et du responsable de PostgreSQL, Andrés Freund, que la porte dérobée a été découverte et que les versions ont été annulées, mettant ainsi fin à ce qui aurait pu être l'attaque de chaîne d'approvisionnement la plus dévastatrice de l'histoire récente.
La porte dérobée elle-même est officiellement considérée comme une vulnérabilité de la plus haute gravité possible dans Registre du NIST. Initialement considéré comme permettant le contournement de l'authentification SSH, une enquête plus approfondie a révélé qu'il permettait l'exécution de code à distance non authentifiée sur des systèmes Linux vulnérables, notamment Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed et certaines versions de Debian.
Jia Tan semble avoir fait de grands efforts pour masquer le package malveillant qui, lorsqu'il est déclenché pour se construire pendant le processus de génération, entrave l'authentification dans SSHD via systemd. Comme Chapeau rouge détaillé, si les circonstances s'y prêtent, cette interférence pourrait potentiellement permettre à un attaquant de rompre l'authentification SSHD et d'obtenir un accès non autorisé à distance à l'ensemble du système.
Microsoft, entre autres, a des directives complètes publiées sur l'analyse des systèmes à la recherche d'instances de l'exploit et sur l'atténuation de ses effets, et sur les mesures immédiates recommandées par CISA est que les développeurs et utilisateurs concernés doivent rétrograder XZ Utils vers une version non compromise, comme XZ Utils 5.4.6 Stable.
Il est extrêmement difficile de prévenir ce type d'attaque, en particulier lorsqu'il s'agit d'utiliser des composants open source dans les logiciels, car la sécurité de la chaîne d'approvisionnement est très limitée et peu transparente. Nous avons déjà combattu des failles accidentelles dans la chaîne d'approvisionnement logicielle, mais ce risque s'est accru et inclut désormais des bogues de sécurité délibérément implantés dans le but de compromettre la sécurité des logiciels libres.
La plupart des développeurs ne seront pas en mesure de stopper une attaque de cette nature s'ils n'ont pas un sens aigu de la sécurité, de solides connaissances en matière de sécurité et un soupçon de paranoïa. Il s'agit presque d'exiger un état d'esprit d'acteur de la menace. Cependant, une considération principale doit toujours se concentrer sur les dépôts de code source qui sont contrôlé en interne (c'est-à-dire non open source). Ils ne devraient être accessibles qu'aux personnes possédant des compétences de sécurité pertinentes et vérifiées. Les professionnels de l'AppSec peuvent envisager une configuration telle que des contrôles de sécurité au niveau de la branche, permettant uniquement aux développeurs expérimentés en matière de sécurité d'apporter des modifications à la branche principale finale.
Les mainteneurs bénévoles sont des héros, mais il faut (devrait) tout un village pour maintenir un logiciel sécurisé
Pour ceux qui ne travaillent pas dans le domaine du génie logiciel, il est difficile de comprendre qu'une communauté dynamique de bénévoles entretienne minutieusement des systèmes critiques à leur rythme, mais c'est la nature du développement open source, qui continue de représenter un risque critique pour les professionnels de la sécurité qui protègent la chaîne d'approvisionnement.
Les logiciels libres constituent un élément essentiel de l'écosystème numérique de pratiquement toutes les entreprises, et les responsables de confiance (dont la plupart agissent de bonne foi) font preuve d'un véritable héroïsme dans leur quête désintéressée du progrès technologique et de l'intégrité, mais il est ridicule de les laisser livrer de manière isolée. En ces temps centrés sur DevSecOps, la sécurité est une responsabilité partagée, et chaque développeur doit disposer des connaissances et des outils adaptés pour gérer les problèmes de sécurité qu'il est susceptible de rencontrer au cours de sa journée de travail. La sensibilisation à la sécurité et les compétences pratiques ne devraient pas être négociables dans le processus de développement logiciel, et il appartient aux responsables de la sécurité d'influencer le changement au niveau de l'entreprise.
Instaurez dès aujourd'hui une culture de sécurité florissante au sein de votre organisation grâce à Cours de Secure Code Warrior.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Le secteur de la cybersécurité a de nouveau été placé en état d'alerte suite à la découverte d'une compromission insidieuse de la chaîne d'approvisionnement logicielle. La vulnérabilité, qui affecte la bibliothèque de compression de données XZ Utils fournie avec les principales distributions Linux, est enregistrée sous CVE-2024-3094 et se résume à une porte dérobée délibérément insérée par un mainteneur volontaire du système autrefois fiable. Autorisant l'exécution de code à distance (RCE) dans certains cas s'il est exploité avec succès, il représente un problème très grave susceptible de provoquer de graves dommages dans les processus de création de logiciels établis.
Heureusement, un autre responsable a découvert cette menace avant que le code malveillant n'entre dans les versions stables de Linux, mais elle pose toujours un problème à ceux qui ont commencé à utiliser les versions 5.6.0. et 5.6.1 de XZ Utils dans le cadre de Fedora Rawhide, et les organisations invité à patcher en tant que priorité en cas d'urgence. Si cette découverte n'était pas faite à temps, le profil de risque en ferait l'une des attaques les plus dévastatrices jamais enregistrées sur la chaîne d'approvisionnement, éclipsant peut-être même SolarWinds.
La dépendance à l'égard des bénévoles communautaires pour la maintenance des systèmes critiques est largement documentée, mais rarement abordée avant que des problèmes à fort impact tels que cet incident ne fassent surface. Bien que leur travail inlassable soit essentiel à la maintenance des logiciels libres, cela met en évidence la nécessité de mettre sérieusement l'accent sur les compétences en matière de sécurité et de sensibilisation au niveau des développeurs, sans oublier de renforcer les contrôles d'accès aux dépôts de logiciels.
Qu'est-ce que la porte dérobée XZ Utils et comment est-elle atténuée ?
Le 29 mars, Red Hat a publié une alerte de sécurité urgente pour informer les utilisateurs de Fedora Linux 4.0 et de Fedora Rawhide que les dernières versions des outils de compression et des bibliothèques « XZ » contiennent du code malveillant qui semble avoir été spécialement conçu pour faciliter l'accès non autorisé à des tiers. La manière dont ce code malveillant a été injecté fera probablement l'objet d'études approfondies à l'avenir, mais il s'agit d'un exercice d'ingénierie sociale sophistiqué, patient et long de la part de l'acteur de la menace, un attaquant pseudonyme appelé Jia Tan ». Cette personne a passé d'innombrables heures à gagner la confiance des autres responsables, à apporter des contributions légitimes au projet et à la communauté XZ Utils pendant plus de deux ans, pour finalement obtenir le statut de « mainteneur de confiance » après que plusieurs comptes de marionnettes aient érodé la confiance en le propriétaire bénévole du projet, Lasse Collin :
Ce scénario inhabituel est un excellent exemple d'une personne hautement technique qui est toujours victime de tactiques généralement réservées à des personnes moins averties, ce qui montre la nécessité d'une formation de sensibilisation à la sécurité précise et basée sur les rôles. C'était uniquement grâce à la curiosité et à la rapidité d'esprit de l'ingénieur logiciel Microsoft et du responsable de PostgreSQL, Andrés Freund, que la porte dérobée a été découverte et que les versions ont été annulées, mettant ainsi fin à ce qui aurait pu être l'attaque de chaîne d'approvisionnement la plus dévastatrice de l'histoire récente.
La porte dérobée elle-même est officiellement considérée comme une vulnérabilité de la plus haute gravité possible dans Registre du NIST. Initialement considéré comme permettant le contournement de l'authentification SSH, une enquête plus approfondie a révélé qu'il permettait l'exécution de code à distance non authentifiée sur des systèmes Linux vulnérables, notamment Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed et certaines versions de Debian.
Jia Tan semble avoir fait de grands efforts pour masquer le package malveillant qui, lorsqu'il est déclenché pour se construire pendant le processus de génération, entrave l'authentification dans SSHD via systemd. Comme Chapeau rouge détaillé, si les circonstances s'y prêtent, cette interférence pourrait potentiellement permettre à un attaquant de rompre l'authentification SSHD et d'obtenir un accès non autorisé à distance à l'ensemble du système.
Microsoft, entre autres, a des directives complètes publiées sur l'analyse des systèmes à la recherche d'instances de l'exploit et sur l'atténuation de ses effets, et sur les mesures immédiates recommandées par CISA est que les développeurs et utilisateurs concernés doivent rétrograder XZ Utils vers une version non compromise, comme XZ Utils 5.4.6 Stable.
Il est extrêmement difficile de prévenir ce type d'attaque, en particulier lorsqu'il s'agit d'utiliser des composants open source dans les logiciels, car la sécurité de la chaîne d'approvisionnement est très limitée et peu transparente. Nous avons déjà combattu des failles accidentelles dans la chaîne d'approvisionnement logicielle, mais ce risque s'est accru et inclut désormais des bogues de sécurité délibérément implantés dans le but de compromettre la sécurité des logiciels libres.
La plupart des développeurs ne seront pas en mesure de stopper une attaque de cette nature s'ils n'ont pas un sens aigu de la sécurité, de solides connaissances en matière de sécurité et un soupçon de paranoïa. Il s'agit presque d'exiger un état d'esprit d'acteur de la menace. Cependant, une considération principale doit toujours se concentrer sur les dépôts de code source qui sont contrôlé en interne (c'est-à-dire non open source). Ils ne devraient être accessibles qu'aux personnes possédant des compétences de sécurité pertinentes et vérifiées. Les professionnels de l'AppSec peuvent envisager une configuration telle que des contrôles de sécurité au niveau de la branche, permettant uniquement aux développeurs expérimentés en matière de sécurité d'apporter des modifications à la branche principale finale.
Les mainteneurs bénévoles sont des héros, mais il faut (devrait) tout un village pour maintenir un logiciel sécurisé
Pour ceux qui ne travaillent pas dans le domaine du génie logiciel, il est difficile de comprendre qu'une communauté dynamique de bénévoles entretienne minutieusement des systèmes critiques à leur rythme, mais c'est la nature du développement open source, qui continue de représenter un risque critique pour les professionnels de la sécurité qui protègent la chaîne d'approvisionnement.
Les logiciels libres constituent un élément essentiel de l'écosystème numérique de pratiquement toutes les entreprises, et les responsables de confiance (dont la plupart agissent de bonne foi) font preuve d'un véritable héroïsme dans leur quête désintéressée du progrès technologique et de l'intégrité, mais il est ridicule de les laisser livrer de manière isolée. En ces temps centrés sur DevSecOps, la sécurité est une responsabilité partagée, et chaque développeur doit disposer des connaissances et des outils adaptés pour gérer les problèmes de sécurité qu'il est susceptible de rencontrer au cours de sa journée de travail. La sensibilisation à la sécurité et les compétences pratiques ne devraient pas être négociables dans le processus de développement logiciel, et il appartient aux responsables de la sécurité d'influencer le changement au niveau de l'entreprise.
Instaurez dès aujourd'hui une culture de sécurité florissante au sein de votre organisation grâce à Cours de Secure Code Warrior.
Table des matières
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
