La protezione contro una Supply Chain non dovrebbe essere solo una questione di fortuna, ma a volte può esserlo. Ciò è stato particolarmente evidente nella recente compromissione della catena di approvvigionamento che ha coinvolto XZ Utils, un'utilità di compressione dati open source ampiamente utilizzata nei sistemi operativi Linux e Unix-like. Il 29 marzo è stato scoperto un commit dannoso nel repository di XZ Utils, che introduceva una backdoor in grado di compromettere i sistemi che eseguivano il software. Questa backdoor consentiva a utenti non autorizzati in possesso di una chiave di crittografia specifica di iniettare codice arbitrario tramite un certificato di accesso SSH. Le motivazioni alla base di questa backdoor sono ancora oggetto di indagine.
In che modo Vectra AI i clienti da exploit come la backdoor XZ Utils?
Vectra AI è in grado di identificare gli aggressori che sfruttano questo tipo di backdoor. In caso di incidenti in cui vengono sfruttate backdoor come quella rilevata in XZ Utils, le funzionalità di rilevamento Vectra AI identificano la sequenza principale dell'avanzata dell'aggressore, dall'accesso remoto alla scoperta, fino al movimento laterale, ben prima che l'attacco possa raggiungere i propri obiettivi. I rilevamenti rilevanti relativi specificamente allo sfruttamento di XZ Utils includono tunnel SSH inversi che verrebbero attivati da Suspicious Remote Access e movimenti laterali sul protocollo SSH rilevati da Suspicious Admin.
Come posso sapere se sono stato esposto alla vulnerabilità di XZ Utils?
In risposta all'exploit XZ Utils, la comunità ha introdotto un progetto denominato xzbot. Esso offre alle organizzazioni strumenti per valutare la loro esposizione a questa vulnerabilità, tra cui:
- honeypot: server falso vulnerabile per rilevare tentativi di exploit
- Patch ed448: patch liblzma.so per utilizzare la nostra chiave pubblica ED448
- formato backdoor: formato del payload della backdoor
- demo backdoor: cli per attivare l'RCE presupponendo la conoscenza della chiave privata ED448
Come posso proteggermi dalle Supply Chain in futuro?
È fondamentale comprendere che incidenti come questo non devono dissuadere le organizzazioni dall'utilizzare software open source. I rischi della catena di approvvigionamento non sono esclusivi dei progetti open source, ma possono interessare anche il software commerciale, come dimostrato dalla violazione di SolarWinds. La chiave per mitigare questi rischi risiede nell'adozione di tecnologie di rilevamento e risposta, come Vectra AI, in grado di identificare le minacce indipendentemente dagli exploit utilizzati dagli aggressori. Vectra AI la necessità di affidarsi alla fortuna come unico metodo per prevenire una Supply Chain . Consente il rilevamento come mezzo per individuare in modo affidabile un aggressore che dovesse abusare di XZ Utils o di qualsiasi altro exploit in agguato, concentrandosi sui comportamenti che questi assumono in termini di portata, rete, identità e cloud.
Poiché il panorama delle minacce continua a evolversi, continueremo a fornire risorse aggiornate per offrire ai difensori informazioni dettagliate sugli autori delle minacce, come Scattered Spider, Midnight Blizzard (APT29) e altri ancora.