Linux 中的 XZ Utils 后门程序指出了更广泛的供应链安全问题,要将其阻止,我们需要的不仅仅是社区精神
在发现了阴险的软件供应链漏洞后,网络安全行业再次处于高度戒备状态。该漏洞影响了主要 Linux 发行版附带的 XZ Utils 数据压缩库,记录在 CVE-2024-3094 下,归结为曾经值得信赖的志愿者系统维护者故意插入的后门。如果成功利用,在某些情况下允许远程执行代码 (RCE),则表示严重程度很高,能够对已建立的软件构建流程造成严重损害。
值得庆幸的是,另一位维护者在恶意代码进入稳定的 Linux 版本之前就发现了这种威胁,但对于那些作为Fedora Rawhide的一部分开始运行 XZ Utils 5.6.0 和 5.6.1 版本的人来说,它仍然构成了问题,组织也是 敦促修补 这是紧急级别的优先事项。如果不及时发现这一发现,风险状况将使其成为有记录以来最具破坏性的供应链攻击之一,甚至可能使SolarWinds黯然失色。
依赖社区志愿者维护关键系统的现象已被广泛记录在案,但直到诸如该事件之类的高影响力问题浮出水面之前,很少有人讨论。尽管他们的不懈工作对于维护开源软件至关重要,但这凸显了在开发人员层面认真强调安全技能和意识的必要性,更不用说加强软件存储库的访问控制了。
什么是 XZ Utils 后门程序,如何缓解它?
3 月 29 日,红帽 发布了紧急安全警报 告知Fedora Linux 40和Fedora Rawhide的用户,最新版本的 “XZ” 压缩工具和库包含恶意代码,这些恶意代码似乎是专门为便利未经授权的第三方访问而构建的。这种恶意代码是如何注入的,将来可能会成为深入研究的主题,但它相当于威胁行为者,一个名为 “Jia” 的化名攻击者进行的长达数年的复杂、耐心、持续数年的社会工程练习棕褐色”。此人花了无数小时赢得其他维护者的信任,为XZ Utils项目和社区做出了两年多的合法贡献,在多个sockpuppet账户削弱了对志愿者项目所有者Lasse Collin的信心之后,他最终获得了 “可信维护者” 身份:
这种不寻常的情况就是一个典型的例子,一个技术含量很高的人员仍然成为策略的受害者,这些策略通常只用来对付那些不太精明的人,这表明需要精确、基于角色的安全意识培训。这只是因为微软软件工程师和 PostgreSQL 维护者的好奇心和思维敏捷, 安德烈斯·弗洛因德,后门被发现,版本被回滚,从而阻止了近代记忆中可能最具破坏性的供应链攻击。
后门程序本身已被正式追踪为严重程度最高的漏洞 NIST 的注册表。最初被认为允许绕过SSH身份验证,但进一步的调查显示,它允许在易受攻击的Linux系统上未经身份验证的远程代码执行,包括Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed和某些版本的Debian。
Jia Tan 似乎不遗余力地对恶意软件包进行了模糊处理,在构建过程中触发该软件包自行构造时,会阻碍通过 systemd 在 SSHD 中进行身份验证。如 红帽 详细地说,在适当的情况下,这种干扰可能会允许攻击者破坏 SSHD 身份验证并获得对整个系统的未经授权的远程访问权限。
除其他外,微软有 发布了全面的指南 在扫描系统上查看漏洞利用实例并减轻其影响,以及建议立即采取的措施 CISA 是受影响的开发者和用户应该将XZ Utils降级到不打折扣的版本,例如XZ Utils 5.4.6稳定版。
防止这种攻击非常困难,尤其是在软件中使用开源组件时,因为供应链的安全性几乎没有保障和透明度。我们已经解决了软件供应链中的意外漏洞,但是这种风险已经上升到包括故意植入恶意以危害开源安全性的安全漏洞。
除非有强烈的安全意识、良好的安全知识和一点偏执狂,否则大多数开发人员将无法阻止这种性质的攻击。这几乎是需要威胁行为者心态的例子。但是,主要考虑因素应始终以源代码存储库为中心 是 内部控制(即非开源)。只有经过验证的相关安全技能的人员才能访问这些内容。AppSec 专业人员可能会考虑诸如分支级安全控制之类的设置,只允许具有安全技能的开发人员对最终的主分支进行更改。
志愿维护者是英雄,但是(应该)需要一个村庄才能维持安全软件
对于软件工程领域之外的人来说,一个充满活力的志愿者社区在自己的时代辛勤维护关键系统的想法是一个难以理解的概念,但这是开源开发的本质,对于保护供应链的安全专业人员来说,它仍然是一个面临重大风险的领域。
开源软件几乎是每个企业数字生态系统的重要组成部分,值得信赖的维护者(其中大多数都是本着诚意行事)在无私地追求技术进步和完整性的过程中确实是英雄,但让他们孤立地交付却是滑稽的。在这个以 DevSeCops 为中心的时代,安全是一项共同的责任,每个开发人员都必须掌握知识和合适的工具,以应对他们在工作日中可能遇到的安全问题。在软件开发过程中,安全意识和动手技能应该是不可谈判的,而安全领导者有责任影响企业层面的变革。
通过深入的方式,在当今的组织中建立蓬勃发展的安全文化 课程 来自安全代码勇士。
在主要 Linux 发行版使用的 XZ Utils 数据压缩库中发现了一个名为 CVE-2024-3094 的严重漏洞,该漏洞是由威胁行为者通过后门程序引入的。这种高严重性问题允许潜在的远程代码执行,对软件构建过程构成重大风险。该漏洞影响了Fedora Rawhide中XZ Utils的早期版本(5.6.0和5.6.1),并紧急呼吁各组织实施补丁。该事件凸显了社区志愿者在维护开源软件方面的关键作用,并凸显了在软件开发生命周期内加强安全措施和访问控制的必要性。
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
在发现了阴险的软件供应链漏洞后,网络安全行业再次处于高度戒备状态。该漏洞影响了主要 Linux 发行版附带的 XZ Utils 数据压缩库,记录在 CVE-2024-3094 下,归结为曾经值得信赖的志愿者系统维护者故意插入的后门。如果成功利用,在某些情况下允许远程执行代码 (RCE),则表示严重程度很高,能够对已建立的软件构建流程造成严重损害。
值得庆幸的是,另一位维护者在恶意代码进入稳定的 Linux 版本之前就发现了这种威胁,但对于那些作为Fedora Rawhide的一部分开始运行 XZ Utils 5.6.0 和 5.6.1 版本的人来说,它仍然构成了问题,组织也是 敦促修补 这是紧急级别的优先事项。如果不及时发现这一发现,风险状况将使其成为有记录以来最具破坏性的供应链攻击之一,甚至可能使SolarWinds黯然失色。
依赖社区志愿者维护关键系统的现象已被广泛记录在案,但直到诸如该事件之类的高影响力问题浮出水面之前,很少有人讨论。尽管他们的不懈工作对于维护开源软件至关重要,但这凸显了在开发人员层面认真强调安全技能和意识的必要性,更不用说加强软件存储库的访问控制了。
什么是 XZ Utils 后门程序,如何缓解它?
3 月 29 日,红帽 发布了紧急安全警报 告知Fedora Linux 40和Fedora Rawhide的用户,最新版本的 “XZ” 压缩工具和库包含恶意代码,这些恶意代码似乎是专门为便利未经授权的第三方访问而构建的。这种恶意代码是如何注入的,将来可能会成为深入研究的主题,但它相当于威胁行为者,一个名为 “Jia” 的化名攻击者进行的长达数年的复杂、耐心、持续数年的社会工程练习棕褐色”。此人花了无数小时赢得其他维护者的信任,为XZ Utils项目和社区做出了两年多的合法贡献,在多个sockpuppet账户削弱了对志愿者项目所有者Lasse Collin的信心之后,他最终获得了 “可信维护者” 身份:
这种不寻常的情况就是一个典型的例子,一个技术含量很高的人员仍然成为策略的受害者,这些策略通常只用来对付那些不太精明的人,这表明需要精确、基于角色的安全意识培训。这只是因为微软软件工程师和 PostgreSQL 维护者的好奇心和思维敏捷, 安德烈斯·弗洛因德,后门被发现,版本被回滚,从而阻止了近代记忆中可能最具破坏性的供应链攻击。
后门程序本身已被正式追踪为严重程度最高的漏洞 NIST 的注册表。最初被认为允许绕过SSH身份验证,但进一步的调查显示,它允许在易受攻击的Linux系统上未经身份验证的远程代码执行,包括Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed和某些版本的Debian。
Jia Tan 似乎不遗余力地对恶意软件包进行了模糊处理,在构建过程中触发该软件包自行构造时,会阻碍通过 systemd 在 SSHD 中进行身份验证。如 红帽 详细地说,在适当的情况下,这种干扰可能会允许攻击者破坏 SSHD 身份验证并获得对整个系统的未经授权的远程访问权限。
除其他外,微软有 发布了全面的指南 在扫描系统上查看漏洞利用实例并减轻其影响,以及建议立即采取的措施 CISA 是受影响的开发者和用户应该将XZ Utils降级到不打折扣的版本,例如XZ Utils 5.4.6稳定版。
防止这种攻击非常困难,尤其是在软件中使用开源组件时,因为供应链的安全性几乎没有保障和透明度。我们已经解决了软件供应链中的意外漏洞,但是这种风险已经上升到包括故意植入恶意以危害开源安全性的安全漏洞。
除非有强烈的安全意识、良好的安全知识和一点偏执狂,否则大多数开发人员将无法阻止这种性质的攻击。这几乎是需要威胁行为者心态的例子。但是,主要考虑因素应始终以源代码存储库为中心 是 内部控制(即非开源)。只有经过验证的相关安全技能的人员才能访问这些内容。AppSec 专业人员可能会考虑诸如分支级安全控制之类的设置,只允许具有安全技能的开发人员对最终的主分支进行更改。
志愿维护者是英雄,但是(应该)需要一个村庄才能维持安全软件
对于软件工程领域之外的人来说,一个充满活力的志愿者社区在自己的时代辛勤维护关键系统的想法是一个难以理解的概念,但这是开源开发的本质,对于保护供应链的安全专业人员来说,它仍然是一个面临重大风险的领域。
开源软件几乎是每个企业数字生态系统的重要组成部分,值得信赖的维护者(其中大多数都是本着诚意行事)在无私地追求技术进步和完整性的过程中确实是英雄,但让他们孤立地交付却是滑稽的。在这个以 DevSeCops 为中心的时代,安全是一项共同的责任,每个开发人员都必须掌握知识和合适的工具,以应对他们在工作日中可能遇到的安全问题。在软件开发过程中,安全意识和动手技能应该是不可谈判的,而安全领导者有责任影响企业层面的变革。
通过深入的方式,在当今的组织中建立蓬勃发展的安全文化 课程 来自安全代码勇士。
在发现了阴险的软件供应链漏洞后,网络安全行业再次处于高度戒备状态。该漏洞影响了主要 Linux 发行版附带的 XZ Utils 数据压缩库,记录在 CVE-2024-3094 下,归结为曾经值得信赖的志愿者系统维护者故意插入的后门。如果成功利用,在某些情况下允许远程执行代码 (RCE),则表示严重程度很高,能够对已建立的软件构建流程造成严重损害。
值得庆幸的是,另一位维护者在恶意代码进入稳定的 Linux 版本之前就发现了这种威胁,但对于那些作为Fedora Rawhide的一部分开始运行 XZ Utils 5.6.0 和 5.6.1 版本的人来说,它仍然构成了问题,组织也是 敦促修补 这是紧急级别的优先事项。如果不及时发现这一发现,风险状况将使其成为有记录以来最具破坏性的供应链攻击之一,甚至可能使SolarWinds黯然失色。
依赖社区志愿者维护关键系统的现象已被广泛记录在案,但直到诸如该事件之类的高影响力问题浮出水面之前,很少有人讨论。尽管他们的不懈工作对于维护开源软件至关重要,但这凸显了在开发人员层面认真强调安全技能和意识的必要性,更不用说加强软件存储库的访问控制了。
什么是 XZ Utils 后门程序,如何缓解它?
3 月 29 日,红帽 发布了紧急安全警报 告知Fedora Linux 40和Fedora Rawhide的用户,最新版本的 “XZ” 压缩工具和库包含恶意代码,这些恶意代码似乎是专门为便利未经授权的第三方访问而构建的。这种恶意代码是如何注入的,将来可能会成为深入研究的主题,但它相当于威胁行为者,一个名为 “Jia” 的化名攻击者进行的长达数年的复杂、耐心、持续数年的社会工程练习棕褐色”。此人花了无数小时赢得其他维护者的信任,为XZ Utils项目和社区做出了两年多的合法贡献,在多个sockpuppet账户削弱了对志愿者项目所有者Lasse Collin的信心之后,他最终获得了 “可信维护者” 身份:
这种不寻常的情况就是一个典型的例子,一个技术含量很高的人员仍然成为策略的受害者,这些策略通常只用来对付那些不太精明的人,这表明需要精确、基于角色的安全意识培训。这只是因为微软软件工程师和 PostgreSQL 维护者的好奇心和思维敏捷, 安德烈斯·弗洛因德,后门被发现,版本被回滚,从而阻止了近代记忆中可能最具破坏性的供应链攻击。
后门程序本身已被正式追踪为严重程度最高的漏洞 NIST 的注册表。最初被认为允许绕过SSH身份验证,但进一步的调查显示,它允许在易受攻击的Linux系统上未经身份验证的远程代码执行,包括Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed和某些版本的Debian。
Jia Tan 似乎不遗余力地对恶意软件包进行了模糊处理,在构建过程中触发该软件包自行构造时,会阻碍通过 systemd 在 SSHD 中进行身份验证。如 红帽 详细地说,在适当的情况下,这种干扰可能会允许攻击者破坏 SSHD 身份验证并获得对整个系统的未经授权的远程访问权限。
除其他外,微软有 发布了全面的指南 在扫描系统上查看漏洞利用实例并减轻其影响,以及建议立即采取的措施 CISA 是受影响的开发者和用户应该将XZ Utils降级到不打折扣的版本,例如XZ Utils 5.4.6稳定版。
防止这种攻击非常困难,尤其是在软件中使用开源组件时,因为供应链的安全性几乎没有保障和透明度。我们已经解决了软件供应链中的意外漏洞,但是这种风险已经上升到包括故意植入恶意以危害开源安全性的安全漏洞。
除非有强烈的安全意识、良好的安全知识和一点偏执狂,否则大多数开发人员将无法阻止这种性质的攻击。这几乎是需要威胁行为者心态的例子。但是,主要考虑因素应始终以源代码存储库为中心 是 内部控制(即非开源)。只有经过验证的相关安全技能的人员才能访问这些内容。AppSec 专业人员可能会考虑诸如分支级安全控制之类的设置,只允许具有安全技能的开发人员对最终的主分支进行更改。
志愿维护者是英雄,但是(应该)需要一个村庄才能维持安全软件
对于软件工程领域之外的人来说,一个充满活力的志愿者社区在自己的时代辛勤维护关键系统的想法是一个难以理解的概念,但这是开源开发的本质,对于保护供应链的安全专业人员来说,它仍然是一个面临重大风险的领域。
开源软件几乎是每个企业数字生态系统的重要组成部分,值得信赖的维护者(其中大多数都是本着诚意行事)在无私地追求技术进步和完整性的过程中确实是英雄,但让他们孤立地交付却是滑稽的。在这个以 DevSeCops 为中心的时代,安全是一项共同的责任,每个开发人员都必须掌握知识和合适的工具,以应对他们在工作日中可能遇到的安全问题。在软件开发过程中,安全意识和动手技能应该是不可谈判的,而安全领导者有责任影响企业层面的变革。
通过深入的方式,在当今的组织中建立蓬勃发展的安全文化 课程 来自安全代码勇士。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
在发现了阴险的软件供应链漏洞后,网络安全行业再次处于高度戒备状态。该漏洞影响了主要 Linux 发行版附带的 XZ Utils 数据压缩库,记录在 CVE-2024-3094 下,归结为曾经值得信赖的志愿者系统维护者故意插入的后门。如果成功利用,在某些情况下允许远程执行代码 (RCE),则表示严重程度很高,能够对已建立的软件构建流程造成严重损害。
值得庆幸的是,另一位维护者在恶意代码进入稳定的 Linux 版本之前就发现了这种威胁,但对于那些作为Fedora Rawhide的一部分开始运行 XZ Utils 5.6.0 和 5.6.1 版本的人来说,它仍然构成了问题,组织也是 敦促修补 这是紧急级别的优先事项。如果不及时发现这一发现,风险状况将使其成为有记录以来最具破坏性的供应链攻击之一,甚至可能使SolarWinds黯然失色。
依赖社区志愿者维护关键系统的现象已被广泛记录在案,但直到诸如该事件之类的高影响力问题浮出水面之前,很少有人讨论。尽管他们的不懈工作对于维护开源软件至关重要,但这凸显了在开发人员层面认真强调安全技能和意识的必要性,更不用说加强软件存储库的访问控制了。
什么是 XZ Utils 后门程序,如何缓解它?
3 月 29 日,红帽 发布了紧急安全警报 告知Fedora Linux 40和Fedora Rawhide的用户,最新版本的 “XZ” 压缩工具和库包含恶意代码,这些恶意代码似乎是专门为便利未经授权的第三方访问而构建的。这种恶意代码是如何注入的,将来可能会成为深入研究的主题,但它相当于威胁行为者,一个名为 “Jia” 的化名攻击者进行的长达数年的复杂、耐心、持续数年的社会工程练习棕褐色”。此人花了无数小时赢得其他维护者的信任,为XZ Utils项目和社区做出了两年多的合法贡献,在多个sockpuppet账户削弱了对志愿者项目所有者Lasse Collin的信心之后,他最终获得了 “可信维护者” 身份:
这种不寻常的情况就是一个典型的例子,一个技术含量很高的人员仍然成为策略的受害者,这些策略通常只用来对付那些不太精明的人,这表明需要精确、基于角色的安全意识培训。这只是因为微软软件工程师和 PostgreSQL 维护者的好奇心和思维敏捷, 安德烈斯·弗洛因德,后门被发现,版本被回滚,从而阻止了近代记忆中可能最具破坏性的供应链攻击。
后门程序本身已被正式追踪为严重程度最高的漏洞 NIST 的注册表。最初被认为允许绕过SSH身份验证,但进一步的调查显示,它允许在易受攻击的Linux系统上未经身份验证的远程代码执行,包括Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed和某些版本的Debian。
Jia Tan 似乎不遗余力地对恶意软件包进行了模糊处理,在构建过程中触发该软件包自行构造时,会阻碍通过 systemd 在 SSHD 中进行身份验证。如 红帽 详细地说,在适当的情况下,这种干扰可能会允许攻击者破坏 SSHD 身份验证并获得对整个系统的未经授权的远程访问权限。
除其他外,微软有 发布了全面的指南 在扫描系统上查看漏洞利用实例并减轻其影响,以及建议立即采取的措施 CISA 是受影响的开发者和用户应该将XZ Utils降级到不打折扣的版本,例如XZ Utils 5.4.6稳定版。
防止这种攻击非常困难,尤其是在软件中使用开源组件时,因为供应链的安全性几乎没有保障和透明度。我们已经解决了软件供应链中的意外漏洞,但是这种风险已经上升到包括故意植入恶意以危害开源安全性的安全漏洞。
除非有强烈的安全意识、良好的安全知识和一点偏执狂,否则大多数开发人员将无法阻止这种性质的攻击。这几乎是需要威胁行为者心态的例子。但是,主要考虑因素应始终以源代码存储库为中心 是 内部控制(即非开源)。只有经过验证的相关安全技能的人员才能访问这些内容。AppSec 专业人员可能会考虑诸如分支级安全控制之类的设置,只允许具有安全技能的开发人员对最终的主分支进行更改。
志愿维护者是英雄,但是(应该)需要一个村庄才能维持安全软件
对于软件工程领域之外的人来说,一个充满活力的志愿者社区在自己的时代辛勤维护关键系统的想法是一个难以理解的概念,但这是开源开发的本质,对于保护供应链的安全专业人员来说,它仍然是一个面临重大风险的领域。
开源软件几乎是每个企业数字生态系统的重要组成部分,值得信赖的维护者(其中大多数都是本着诚意行事)在无私地追求技术进步和完整性的过程中确实是英雄,但让他们孤立地交付却是滑稽的。在这个以 DevSeCops 为中心的时代,安全是一项共同的责任,每个开发人员都必须掌握知识和合适的工具,以应对他们在工作日中可能遇到的安全问题。在软件开发过程中,安全意识和动手技能应该是不可谈判的,而安全领导者有责任影响企业层面的变革。
通过深入的方式,在当今的组织中建立蓬勃发展的安全文化 课程 来自安全代码勇士。
帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
