Linux의 XZ Utils의 백도어는 광범위한 공급망 보안 문제를 가리키며, 이를 막기 위해서는 커뮤니티 정신 이상의 것이 필요합니다.
교활한 소프트웨어 공급망 침해가 발견되면서 사이버 보안 업계는 다시 한 번 높은 경계에 봉착했습니다.주요 Linux 배포판과 함께 제공되는 XZ Utils 데이터 압축 라이브러리에 영향을 미치는 이 취약점은 CVE-2024-3094 항목으로 기록되며, 결국 신뢰할 수 있었던 자원 봉사자 시스템 관리자가 의도적으로 백도어를 삽입한 것으로 귀결됩니다.악용에 성공할 경우 경우에 따라 원격 코드 실행 (RCE) 을 허용하는 것은 기존 소프트웨어 빌드 프로세스에 심각한 손상을 초래할 수 있다는 점에서 심각도가 매우 높은 문제입니다.
다행스럽게도 악성 코드가 안정적인 Linux 릴리스에 진입하기 전에 다른 관리자가 이 위협을 발견했지만, Fedora Rawhide의 일부로 XZ Utils 버전 5.6.0과 5.6.1을 실행하기 시작한 사용자에게는 여전히 문제가 되고 있으며 조직에서는 패치 촉구 비상 수준의 우선 순위입니다.이러한 발견이 제때 이루어지지 않는다면 위험 프로파일을 보면 이는 아마도 SolarWinds를 능가하는 가장 파괴적인 공급망 공격 중 하나로 기록될 것입니다.
중요한 시스템을 유지 관리하기 위해 커뮤니티 자원 봉사자에 의존하는 것은 널리 문서화되어 있지만, 이 사건과 같이 영향력이 큰 문제가 표면으로 드러나기 전까지는 거의 논의되지 않습니다.이들의 지칠 줄 모르는 노력은 오픈 소스 소프트웨어의 유지 관리에 필수적이지만, 이는 소프트웨어 리포지토리에 대한 액세스 제어를 강화하는 것은 말할 것도 없고 개발자 수준에서 보안 기술과 인식에 중점을 두어야 할 필요성을 부각시키고 있습니다.
XZ Utils 백도어란 무엇이며 어떻게 완화됩니까?
3월 29일, 레드햇 긴급 보안 경고를 게시했습니다. Fedora Linux 4.0 및 Fedora Rawhide 사용자에게 최신 버전의 “XZ” 압축 도구 및 라이브러리에는 제3자의 무단 액세스를 용이하게 하기 위해 특별히 제작된 것으로 보이는 악성 코드가 포함되어 있음을 알리기 위한 것입니다. 이 악성 코드가 어떻게 주입되었는지는 향후 집중적인 연구 대상이 될 것입니다. 하지만 이는 위협 행위자인 가명 측에서 수년에 걸친 정교하고 인내심 있는 사회 공학 실습에 해당합니다. “지아 탄”이라고 불리는 공격자.이 사람은 2년 넘게 XZ Utils 프로젝트 및 커뮤니티에 합법적인 기여를 하면서 다른 메인테이너의 신뢰를 얻는 데 셀 수 없이 많은 시간을 보냈으며, 여러 개의 sockpuppet 계정으로 인해 자원 봉사 프로젝트 소유자인 Lasse Collin에 대한 신뢰가 약해진 후 결국 “신뢰할 수 있는 관리자” 지위를 얻었습니다.
이 특이한 시나리오는 고도로 기술적인 사람이 일반적으로 지식이 부족한 사람들을 상대로 사용하는 전술의 희생양이 되고 있는 대표적인 예로서, 정밀한 역할 기반 보안 인식 교육의 필요성을 보여줍니다.이는 단지 Microsoft 소프트웨어 엔지니어이자 PostgreSQL 유지 관리자의 호기심과 빠른 사고 때문이었습니다. 안드레스 프로운드백도어가 발견되고 버전이 롤백되어 최근 역사상 가장 파괴적이었을 수 있는 공급망 공격을 막았다는 것입니다.
백도어 자체는 공식적으로 가능한 가장 심각한 취약점으로 추적되고 있습니다. NIST 레지스트리.처음에는 SSH 인증 우회를 허용할 것으로 생각되었지만 추가 조사를 통해 페도라 로우하이드, 페도라 41, 칼리 리눅스, OpenSUSE 마이크로 OS, OpenSUSE Tumbleweed 및 일부 데비안 버전을 포함한 취약한 리눅스 시스템에서 인증되지 않은 원격 코드 실행이 가능하다는 사실이 밝혀졌습니다.
Jia Tan은 악성 패키지를 찾기 위해 많은 노력을 기울인 것으로 보입니다. 악성 패키지는 빌드 프로세스 중에 자체적으로 구성되도록 트리거되면 systemd를 통한 SSHD의 인증을 방해합니다.다음과 같이 레드 햇 자세히 설명하자면, 적절한 상황에서 이러한 간섭으로 인해 공격자는 잠재적으로 SSHD 인증을 위반하고 전체 시스템에 원격으로 무단 액세스할 수 있습니다.
마이크로소프트는 그 중에서도 포괄적인 지침 발표 시스템에서 익스플로잇 인스턴스를 검색하고 그 영향을 완화하는 것과 다음 기관에서 권장하는 즉각적인 조치에 대해 CISA 영향을 받는 개발자와 사용자는 XZ Utils 5.4.6 Stable과 같은 손상되지 않은 버전으로 XZ Utils를 다운그레이드해야 한다는 것입니다.
이러한 유형의 공격을 방지하는 것은 매우 어렵습니다. 특히 소프트웨어에서 오픈 소스 구성 요소를 활용할 때는 공급망의 보안에 대한 확신과 투명성이 거의 없기 때문입니다.우리는 이미 소프트웨어 공급망의 우발적인 결함을 해결해 왔지만, 이러한 위험에는 오픈 소스 보안을 침해하려는 악의적인 의도를 가지고 의도적으로 심어진 보안 버그가 포함되는 것으로 나타났습니다.
대부분의 개발자는 보안 의식이 강하고 보안 지식이 풍부하며 편집증이 심하지 않는 한 이러한 성격의 공격을 막을 수 없습니다.위협 행위자의 사고방식을 요구하는 수준에 가깝습니다.하지만 가장 중요한 고려 사항은 항상 다음과 같은 소스 코드 리포지토리를 중심으로 이루어져야 합니다. 입니다 내부적으로 통제됩니다 (즉, 오픈 소스가 아님).이러한 정보는 검증된 관련 보안 기술을 갖춘 사람만 이용할 수 있어야 합니다.AppSec 전문가는 보안 숙련된 개발자만 최종 마스터 브랜치에 변경 사항을 커밋할 수 있도록 하는 분기 수준 보안 제어와 같은 설정을 고려할 수 있습니다.
자원 봉사자 메인테이너는 영웅이지만 안전한 소프트웨어를 유지하기 위해서는 많은 노력이 필요합니다.
소프트웨어 엔지니어링의 영역을 벗어난 사람들은 활발한 자원 봉사자 커뮤니티가 자신의 시간에 중요한 시스템을 열심히 유지 관리한다는 개념을 이해하기 어려운 개념이지만, 이것이 오픈 소스 개발의 특성이며 공급망을 보호하는 보안 전문가에게는 여전히 심각한 위험 영역으로 남아 있습니다.
오픈 소스 소프트웨어는 거의 모든 기업의 디지털 생태계에서 중요한 부분을 차지합니다. 신뢰할 수 있는 유지 관리자 (대부분 선의로 행동함) 는 기술 진보와 무결성을 사심 없이 추구하는 진정한 영웅적 존재이지만, 이들을 고립된 상태로 계속 제공하는 것은 말도 안 되는 일입니다.DevSecops가 중심인 이 시대에 보안은 공동의 책임이며, 모든 개발자는 업무 중에 발생할 수 있는 보안 문제를 해결할 수 있는 지식과 적합한 도구를 갖추어야 합니다.보안 인식과 실무 기술은 소프트웨어 개발 프로세스에서 타협할 수 없는 수준이어야 하며, 기업 수준에서 변화에 영향을 미치는 것은 보안 리더의 몫입니다.
심층적인 정보를 바탕으로 오늘날 조직에 번창하는 보안 문화를 구축하세요. 교육 과정 시큐어 코드 워리어로부터.
주요 Linux 배포판에서 사용하는 XZ Utils 데이터 압축 라이브러리에서 위협 행위자가 백도어를 통해 도입한 심각한 취약점인 CVE-2024-3094 취약점이 발견되었습니다.심각도가 높은 이 문제는 잠재적인 원격 코드 실행을 허용하여 소프트웨어 빌드 프로세스에 심각한 위험을 초래합니다.이 결함은 Fedora Rawhide에 있는 XZ Utils의 초기 버전 (5.6.0 및 5.6.1) 에 영향을 미치며, 조직에서 패치를 구현하도록 긴급히 요청하고 있습니다.이 사건은 오픈 소스 소프트웨어를 유지 관리하는 데 있어 커뮤니티 자원 봉사자의 중요한 역할을 강조하고 소프트웨어 개발 라이프사이클 내에서 향상된 보안 관행과 액세스 제어의 필요성을 강조합니다.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
교활한 소프트웨어 공급망 침해가 발견되면서 사이버 보안 업계는 다시 한 번 높은 경계에 봉착했습니다.주요 Linux 배포판과 함께 제공되는 XZ Utils 데이터 압축 라이브러리에 영향을 미치는 이 취약점은 CVE-2024-3094 항목으로 기록되며, 결국 신뢰할 수 있었던 자원 봉사자 시스템 관리자가 의도적으로 백도어를 삽입한 것으로 귀결됩니다.악용에 성공할 경우 경우에 따라 원격 코드 실행 (RCE) 을 허용하는 것은 기존 소프트웨어 빌드 프로세스에 심각한 손상을 초래할 수 있다는 점에서 심각도가 매우 높은 문제입니다.
다행스럽게도 악성 코드가 안정적인 Linux 릴리스에 진입하기 전에 다른 관리자가 이 위협을 발견했지만, Fedora Rawhide의 일부로 XZ Utils 버전 5.6.0과 5.6.1을 실행하기 시작한 사용자에게는 여전히 문제가 되고 있으며 조직에서는 패치 촉구 비상 수준의 우선 순위입니다.이러한 발견이 제때 이루어지지 않는다면 위험 프로파일을 보면 이는 아마도 SolarWinds를 능가하는 가장 파괴적인 공급망 공격 중 하나로 기록될 것입니다.
중요한 시스템을 유지 관리하기 위해 커뮤니티 자원 봉사자에 의존하는 것은 널리 문서화되어 있지만, 이 사건과 같이 영향력이 큰 문제가 표면으로 드러나기 전까지는 거의 논의되지 않습니다.이들의 지칠 줄 모르는 노력은 오픈 소스 소프트웨어의 유지 관리에 필수적이지만, 이는 소프트웨어 리포지토리에 대한 액세스 제어를 강화하는 것은 말할 것도 없고 개발자 수준에서 보안 기술과 인식에 중점을 두어야 할 필요성을 부각시키고 있습니다.
XZ Utils 백도어란 무엇이며 어떻게 완화됩니까?
3월 29일, 레드햇 긴급 보안 경고를 게시했습니다. Fedora Linux 4.0 및 Fedora Rawhide 사용자에게 최신 버전의 “XZ” 압축 도구 및 라이브러리에는 제3자의 무단 액세스를 용이하게 하기 위해 특별히 제작된 것으로 보이는 악성 코드가 포함되어 있음을 알리기 위한 것입니다. 이 악성 코드가 어떻게 주입되었는지는 향후 집중적인 연구 대상이 될 것입니다. 하지만 이는 위협 행위자인 가명 측에서 수년에 걸친 정교하고 인내심 있는 사회 공학 실습에 해당합니다. “지아 탄”이라고 불리는 공격자.이 사람은 2년 넘게 XZ Utils 프로젝트 및 커뮤니티에 합법적인 기여를 하면서 다른 메인테이너의 신뢰를 얻는 데 셀 수 없이 많은 시간을 보냈으며, 여러 개의 sockpuppet 계정으로 인해 자원 봉사 프로젝트 소유자인 Lasse Collin에 대한 신뢰가 약해진 후 결국 “신뢰할 수 있는 관리자” 지위를 얻었습니다.
이 특이한 시나리오는 고도로 기술적인 사람이 일반적으로 지식이 부족한 사람들을 상대로 사용하는 전술의 희생양이 되고 있는 대표적인 예로서, 정밀한 역할 기반 보안 인식 교육의 필요성을 보여줍니다.이는 단지 Microsoft 소프트웨어 엔지니어이자 PostgreSQL 유지 관리자의 호기심과 빠른 사고 때문이었습니다. 안드레스 프로운드백도어가 발견되고 버전이 롤백되어 최근 역사상 가장 파괴적이었을 수 있는 공급망 공격을 막았다는 것입니다.
백도어 자체는 공식적으로 가능한 가장 심각한 취약점으로 추적되고 있습니다. NIST 레지스트리.처음에는 SSH 인증 우회를 허용할 것으로 생각되었지만 추가 조사를 통해 페도라 로우하이드, 페도라 41, 칼리 리눅스, OpenSUSE 마이크로 OS, OpenSUSE Tumbleweed 및 일부 데비안 버전을 포함한 취약한 리눅스 시스템에서 인증되지 않은 원격 코드 실행이 가능하다는 사실이 밝혀졌습니다.
Jia Tan은 악성 패키지를 찾기 위해 많은 노력을 기울인 것으로 보입니다. 악성 패키지는 빌드 프로세스 중에 자체적으로 구성되도록 트리거되면 systemd를 통한 SSHD의 인증을 방해합니다.다음과 같이 레드 햇 자세히 설명하자면, 적절한 상황에서 이러한 간섭으로 인해 공격자는 잠재적으로 SSHD 인증을 위반하고 전체 시스템에 원격으로 무단 액세스할 수 있습니다.
마이크로소프트는 그 중에서도 포괄적인 지침 발표 시스템에서 익스플로잇 인스턴스를 검색하고 그 영향을 완화하는 것과 다음 기관에서 권장하는 즉각적인 조치에 대해 CISA 영향을 받는 개발자와 사용자는 XZ Utils 5.4.6 Stable과 같은 손상되지 않은 버전으로 XZ Utils를 다운그레이드해야 한다는 것입니다.
이러한 유형의 공격을 방지하는 것은 매우 어렵습니다. 특히 소프트웨어에서 오픈 소스 구성 요소를 활용할 때는 공급망의 보안에 대한 확신과 투명성이 거의 없기 때문입니다.우리는 이미 소프트웨어 공급망의 우발적인 결함을 해결해 왔지만, 이러한 위험에는 오픈 소스 보안을 침해하려는 악의적인 의도를 가지고 의도적으로 심어진 보안 버그가 포함되는 것으로 나타났습니다.
대부분의 개발자는 보안 의식이 강하고 보안 지식이 풍부하며 편집증이 심하지 않는 한 이러한 성격의 공격을 막을 수 없습니다.위협 행위자의 사고방식을 요구하는 수준에 가깝습니다.하지만 가장 중요한 고려 사항은 항상 다음과 같은 소스 코드 리포지토리를 중심으로 이루어져야 합니다. 입니다 내부적으로 통제됩니다 (즉, 오픈 소스가 아님).이러한 정보는 검증된 관련 보안 기술을 갖춘 사람만 이용할 수 있어야 합니다.AppSec 전문가는 보안 숙련된 개발자만 최종 마스터 브랜치에 변경 사항을 커밋할 수 있도록 하는 분기 수준 보안 제어와 같은 설정을 고려할 수 있습니다.
자원 봉사자 메인테이너는 영웅이지만 안전한 소프트웨어를 유지하기 위해서는 많은 노력이 필요합니다.
소프트웨어 엔지니어링의 영역을 벗어난 사람들은 활발한 자원 봉사자 커뮤니티가 자신의 시간에 중요한 시스템을 열심히 유지 관리한다는 개념을 이해하기 어려운 개념이지만, 이것이 오픈 소스 개발의 특성이며 공급망을 보호하는 보안 전문가에게는 여전히 심각한 위험 영역으로 남아 있습니다.
오픈 소스 소프트웨어는 거의 모든 기업의 디지털 생태계에서 중요한 부분을 차지합니다. 신뢰할 수 있는 유지 관리자 (대부분 선의로 행동함) 는 기술 진보와 무결성을 사심 없이 추구하는 진정한 영웅적 존재이지만, 이들을 고립된 상태로 계속 제공하는 것은 말도 안 되는 일입니다.DevSecops가 중심인 이 시대에 보안은 공동의 책임이며, 모든 개발자는 업무 중에 발생할 수 있는 보안 문제를 해결할 수 있는 지식과 적합한 도구를 갖추어야 합니다.보안 인식과 실무 기술은 소프트웨어 개발 프로세스에서 타협할 수 없는 수준이어야 하며, 기업 수준에서 변화에 영향을 미치는 것은 보안 리더의 몫입니다.
심층적인 정보를 바탕으로 오늘날 조직에 번창하는 보안 문화를 구축하세요. 교육 과정 시큐어 코드 워리어로부터.
교활한 소프트웨어 공급망 침해가 발견되면서 사이버 보안 업계는 다시 한 번 높은 경계에 봉착했습니다.주요 Linux 배포판과 함께 제공되는 XZ Utils 데이터 압축 라이브러리에 영향을 미치는 이 취약점은 CVE-2024-3094 항목으로 기록되며, 결국 신뢰할 수 있었던 자원 봉사자 시스템 관리자가 의도적으로 백도어를 삽입한 것으로 귀결됩니다.악용에 성공할 경우 경우에 따라 원격 코드 실행 (RCE) 을 허용하는 것은 기존 소프트웨어 빌드 프로세스에 심각한 손상을 초래할 수 있다는 점에서 심각도가 매우 높은 문제입니다.
다행스럽게도 악성 코드가 안정적인 Linux 릴리스에 진입하기 전에 다른 관리자가 이 위협을 발견했지만, Fedora Rawhide의 일부로 XZ Utils 버전 5.6.0과 5.6.1을 실행하기 시작한 사용자에게는 여전히 문제가 되고 있으며 조직에서는 패치 촉구 비상 수준의 우선 순위입니다.이러한 발견이 제때 이루어지지 않는다면 위험 프로파일을 보면 이는 아마도 SolarWinds를 능가하는 가장 파괴적인 공급망 공격 중 하나로 기록될 것입니다.
중요한 시스템을 유지 관리하기 위해 커뮤니티 자원 봉사자에 의존하는 것은 널리 문서화되어 있지만, 이 사건과 같이 영향력이 큰 문제가 표면으로 드러나기 전까지는 거의 논의되지 않습니다.이들의 지칠 줄 모르는 노력은 오픈 소스 소프트웨어의 유지 관리에 필수적이지만, 이는 소프트웨어 리포지토리에 대한 액세스 제어를 강화하는 것은 말할 것도 없고 개발자 수준에서 보안 기술과 인식에 중점을 두어야 할 필요성을 부각시키고 있습니다.
XZ Utils 백도어란 무엇이며 어떻게 완화됩니까?
3월 29일, 레드햇 긴급 보안 경고를 게시했습니다. Fedora Linux 4.0 및 Fedora Rawhide 사용자에게 최신 버전의 “XZ” 압축 도구 및 라이브러리에는 제3자의 무단 액세스를 용이하게 하기 위해 특별히 제작된 것으로 보이는 악성 코드가 포함되어 있음을 알리기 위한 것입니다. 이 악성 코드가 어떻게 주입되었는지는 향후 집중적인 연구 대상이 될 것입니다. 하지만 이는 위협 행위자인 가명 측에서 수년에 걸친 정교하고 인내심 있는 사회 공학 실습에 해당합니다. “지아 탄”이라고 불리는 공격자.이 사람은 2년 넘게 XZ Utils 프로젝트 및 커뮤니티에 합법적인 기여를 하면서 다른 메인테이너의 신뢰를 얻는 데 셀 수 없이 많은 시간을 보냈으며, 여러 개의 sockpuppet 계정으로 인해 자원 봉사 프로젝트 소유자인 Lasse Collin에 대한 신뢰가 약해진 후 결국 “신뢰할 수 있는 관리자” 지위를 얻었습니다.
이 특이한 시나리오는 고도로 기술적인 사람이 일반적으로 지식이 부족한 사람들을 상대로 사용하는 전술의 희생양이 되고 있는 대표적인 예로서, 정밀한 역할 기반 보안 인식 교육의 필요성을 보여줍니다.이는 단지 Microsoft 소프트웨어 엔지니어이자 PostgreSQL 유지 관리자의 호기심과 빠른 사고 때문이었습니다. 안드레스 프로운드백도어가 발견되고 버전이 롤백되어 최근 역사상 가장 파괴적이었을 수 있는 공급망 공격을 막았다는 것입니다.
백도어 자체는 공식적으로 가능한 가장 심각한 취약점으로 추적되고 있습니다. NIST 레지스트리.처음에는 SSH 인증 우회를 허용할 것으로 생각되었지만 추가 조사를 통해 페도라 로우하이드, 페도라 41, 칼리 리눅스, OpenSUSE 마이크로 OS, OpenSUSE Tumbleweed 및 일부 데비안 버전을 포함한 취약한 리눅스 시스템에서 인증되지 않은 원격 코드 실행이 가능하다는 사실이 밝혀졌습니다.
Jia Tan은 악성 패키지를 찾기 위해 많은 노력을 기울인 것으로 보입니다. 악성 패키지는 빌드 프로세스 중에 자체적으로 구성되도록 트리거되면 systemd를 통한 SSHD의 인증을 방해합니다.다음과 같이 레드 햇 자세히 설명하자면, 적절한 상황에서 이러한 간섭으로 인해 공격자는 잠재적으로 SSHD 인증을 위반하고 전체 시스템에 원격으로 무단 액세스할 수 있습니다.
마이크로소프트는 그 중에서도 포괄적인 지침 발표 시스템에서 익스플로잇 인스턴스를 검색하고 그 영향을 완화하는 것과 다음 기관에서 권장하는 즉각적인 조치에 대해 CISA 영향을 받는 개발자와 사용자는 XZ Utils 5.4.6 Stable과 같은 손상되지 않은 버전으로 XZ Utils를 다운그레이드해야 한다는 것입니다.
이러한 유형의 공격을 방지하는 것은 매우 어렵습니다. 특히 소프트웨어에서 오픈 소스 구성 요소를 활용할 때는 공급망의 보안에 대한 확신과 투명성이 거의 없기 때문입니다.우리는 이미 소프트웨어 공급망의 우발적인 결함을 해결해 왔지만, 이러한 위험에는 오픈 소스 보안을 침해하려는 악의적인 의도를 가지고 의도적으로 심어진 보안 버그가 포함되는 것으로 나타났습니다.
대부분의 개발자는 보안 의식이 강하고 보안 지식이 풍부하며 편집증이 심하지 않는 한 이러한 성격의 공격을 막을 수 없습니다.위협 행위자의 사고방식을 요구하는 수준에 가깝습니다.하지만 가장 중요한 고려 사항은 항상 다음과 같은 소스 코드 리포지토리를 중심으로 이루어져야 합니다. 입니다 내부적으로 통제됩니다 (즉, 오픈 소스가 아님).이러한 정보는 검증된 관련 보안 기술을 갖춘 사람만 이용할 수 있어야 합니다.AppSec 전문가는 보안 숙련된 개발자만 최종 마스터 브랜치에 변경 사항을 커밋할 수 있도록 하는 분기 수준 보안 제어와 같은 설정을 고려할 수 있습니다.
자원 봉사자 메인테이너는 영웅이지만 안전한 소프트웨어를 유지하기 위해서는 많은 노력이 필요합니다.
소프트웨어 엔지니어링의 영역을 벗어난 사람들은 활발한 자원 봉사자 커뮤니티가 자신의 시간에 중요한 시스템을 열심히 유지 관리한다는 개념을 이해하기 어려운 개념이지만, 이것이 오픈 소스 개발의 특성이며 공급망을 보호하는 보안 전문가에게는 여전히 심각한 위험 영역으로 남아 있습니다.
오픈 소스 소프트웨어는 거의 모든 기업의 디지털 생태계에서 중요한 부분을 차지합니다. 신뢰할 수 있는 유지 관리자 (대부분 선의로 행동함) 는 기술 진보와 무결성을 사심 없이 추구하는 진정한 영웅적 존재이지만, 이들을 고립된 상태로 계속 제공하는 것은 말도 안 되는 일입니다.DevSecops가 중심인 이 시대에 보안은 공동의 책임이며, 모든 개발자는 업무 중에 발생할 수 있는 보안 문제를 해결할 수 있는 지식과 적합한 도구를 갖추어야 합니다.보안 인식과 실무 기술은 소프트웨어 개발 프로세스에서 타협할 수 없는 수준이어야 하며, 기업 수준에서 변화에 영향을 미치는 것은 보안 리더의 몫입니다.
심층적인 정보를 바탕으로 오늘날 조직에 번창하는 보안 문화를 구축하세요. 교육 과정 시큐어 코드 워리어로부터.
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
교활한 소프트웨어 공급망 침해가 발견되면서 사이버 보안 업계는 다시 한 번 높은 경계에 봉착했습니다.주요 Linux 배포판과 함께 제공되는 XZ Utils 데이터 압축 라이브러리에 영향을 미치는 이 취약점은 CVE-2024-3094 항목으로 기록되며, 결국 신뢰할 수 있었던 자원 봉사자 시스템 관리자가 의도적으로 백도어를 삽입한 것으로 귀결됩니다.악용에 성공할 경우 경우에 따라 원격 코드 실행 (RCE) 을 허용하는 것은 기존 소프트웨어 빌드 프로세스에 심각한 손상을 초래할 수 있다는 점에서 심각도가 매우 높은 문제입니다.
다행스럽게도 악성 코드가 안정적인 Linux 릴리스에 진입하기 전에 다른 관리자가 이 위협을 발견했지만, Fedora Rawhide의 일부로 XZ Utils 버전 5.6.0과 5.6.1을 실행하기 시작한 사용자에게는 여전히 문제가 되고 있으며 조직에서는 패치 촉구 비상 수준의 우선 순위입니다.이러한 발견이 제때 이루어지지 않는다면 위험 프로파일을 보면 이는 아마도 SolarWinds를 능가하는 가장 파괴적인 공급망 공격 중 하나로 기록될 것입니다.
중요한 시스템을 유지 관리하기 위해 커뮤니티 자원 봉사자에 의존하는 것은 널리 문서화되어 있지만, 이 사건과 같이 영향력이 큰 문제가 표면으로 드러나기 전까지는 거의 논의되지 않습니다.이들의 지칠 줄 모르는 노력은 오픈 소스 소프트웨어의 유지 관리에 필수적이지만, 이는 소프트웨어 리포지토리에 대한 액세스 제어를 강화하는 것은 말할 것도 없고 개발자 수준에서 보안 기술과 인식에 중점을 두어야 할 필요성을 부각시키고 있습니다.
XZ Utils 백도어란 무엇이며 어떻게 완화됩니까?
3월 29일, 레드햇 긴급 보안 경고를 게시했습니다. Fedora Linux 4.0 및 Fedora Rawhide 사용자에게 최신 버전의 “XZ” 압축 도구 및 라이브러리에는 제3자의 무단 액세스를 용이하게 하기 위해 특별히 제작된 것으로 보이는 악성 코드가 포함되어 있음을 알리기 위한 것입니다. 이 악성 코드가 어떻게 주입되었는지는 향후 집중적인 연구 대상이 될 것입니다. 하지만 이는 위협 행위자인 가명 측에서 수년에 걸친 정교하고 인내심 있는 사회 공학 실습에 해당합니다. “지아 탄”이라고 불리는 공격자.이 사람은 2년 넘게 XZ Utils 프로젝트 및 커뮤니티에 합법적인 기여를 하면서 다른 메인테이너의 신뢰를 얻는 데 셀 수 없이 많은 시간을 보냈으며, 여러 개의 sockpuppet 계정으로 인해 자원 봉사 프로젝트 소유자인 Lasse Collin에 대한 신뢰가 약해진 후 결국 “신뢰할 수 있는 관리자” 지위를 얻었습니다.
이 특이한 시나리오는 고도로 기술적인 사람이 일반적으로 지식이 부족한 사람들을 상대로 사용하는 전술의 희생양이 되고 있는 대표적인 예로서, 정밀한 역할 기반 보안 인식 교육의 필요성을 보여줍니다.이는 단지 Microsoft 소프트웨어 엔지니어이자 PostgreSQL 유지 관리자의 호기심과 빠른 사고 때문이었습니다. 안드레스 프로운드백도어가 발견되고 버전이 롤백되어 최근 역사상 가장 파괴적이었을 수 있는 공급망 공격을 막았다는 것입니다.
백도어 자체는 공식적으로 가능한 가장 심각한 취약점으로 추적되고 있습니다. NIST 레지스트리.처음에는 SSH 인증 우회를 허용할 것으로 생각되었지만 추가 조사를 통해 페도라 로우하이드, 페도라 41, 칼리 리눅스, OpenSUSE 마이크로 OS, OpenSUSE Tumbleweed 및 일부 데비안 버전을 포함한 취약한 리눅스 시스템에서 인증되지 않은 원격 코드 실행이 가능하다는 사실이 밝혀졌습니다.
Jia Tan은 악성 패키지를 찾기 위해 많은 노력을 기울인 것으로 보입니다. 악성 패키지는 빌드 프로세스 중에 자체적으로 구성되도록 트리거되면 systemd를 통한 SSHD의 인증을 방해합니다.다음과 같이 레드 햇 자세히 설명하자면, 적절한 상황에서 이러한 간섭으로 인해 공격자는 잠재적으로 SSHD 인증을 위반하고 전체 시스템에 원격으로 무단 액세스할 수 있습니다.
마이크로소프트는 그 중에서도 포괄적인 지침 발표 시스템에서 익스플로잇 인스턴스를 검색하고 그 영향을 완화하는 것과 다음 기관에서 권장하는 즉각적인 조치에 대해 CISA 영향을 받는 개발자와 사용자는 XZ Utils 5.4.6 Stable과 같은 손상되지 않은 버전으로 XZ Utils를 다운그레이드해야 한다는 것입니다.
이러한 유형의 공격을 방지하는 것은 매우 어렵습니다. 특히 소프트웨어에서 오픈 소스 구성 요소를 활용할 때는 공급망의 보안에 대한 확신과 투명성이 거의 없기 때문입니다.우리는 이미 소프트웨어 공급망의 우발적인 결함을 해결해 왔지만, 이러한 위험에는 오픈 소스 보안을 침해하려는 악의적인 의도를 가지고 의도적으로 심어진 보안 버그가 포함되는 것으로 나타났습니다.
대부분의 개발자는 보안 의식이 강하고 보안 지식이 풍부하며 편집증이 심하지 않는 한 이러한 성격의 공격을 막을 수 없습니다.위협 행위자의 사고방식을 요구하는 수준에 가깝습니다.하지만 가장 중요한 고려 사항은 항상 다음과 같은 소스 코드 리포지토리를 중심으로 이루어져야 합니다. 입니다 내부적으로 통제됩니다 (즉, 오픈 소스가 아님).이러한 정보는 검증된 관련 보안 기술을 갖춘 사람만 이용할 수 있어야 합니다.AppSec 전문가는 보안 숙련된 개발자만 최종 마스터 브랜치에 변경 사항을 커밋할 수 있도록 하는 분기 수준 보안 제어와 같은 설정을 고려할 수 있습니다.
자원 봉사자 메인테이너는 영웅이지만 안전한 소프트웨어를 유지하기 위해서는 많은 노력이 필요합니다.
소프트웨어 엔지니어링의 영역을 벗어난 사람들은 활발한 자원 봉사자 커뮤니티가 자신의 시간에 중요한 시스템을 열심히 유지 관리한다는 개념을 이해하기 어려운 개념이지만, 이것이 오픈 소스 개발의 특성이며 공급망을 보호하는 보안 전문가에게는 여전히 심각한 위험 영역으로 남아 있습니다.
오픈 소스 소프트웨어는 거의 모든 기업의 디지털 생태계에서 중요한 부분을 차지합니다. 신뢰할 수 있는 유지 관리자 (대부분 선의로 행동함) 는 기술 진보와 무결성을 사심 없이 추구하는 진정한 영웅적 존재이지만, 이들을 고립된 상태로 계속 제공하는 것은 말도 안 되는 일입니다.DevSecops가 중심인 이 시대에 보안은 공동의 책임이며, 모든 개발자는 업무 중에 발생할 수 있는 보안 문제를 해결할 수 있는 지식과 적합한 도구를 갖추어야 합니다.보안 인식과 실무 기술은 소프트웨어 개발 프로세스에서 타협할 수 없는 수준이어야 하며, 기업 수준에서 변화에 영향을 미치는 것은 보안 리더의 몫입니다.
심층적인 정보를 바탕으로 오늘날 조직에 번창하는 보안 문화를 구축하세요. 교육 과정 시큐어 코드 워리어로부터.
시작하는 데 도움이 되는 리소스
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
