La protezione da una compromissione Supply Chain non dovrebbe essere solo una funzione della fortuna, ma a volte può esserlo. Ciò è stato particolarmente evidente nella recente compromissione della catena di fornitura che ha coinvolto XZ Utils, un'utilità di compressione dati open-source ampiamente utilizzata nei sistemi operativi Linux e Unix-like. Il 29 marzo è stato scoperto un commit dannoso nel repository di XZ Utils, che introduceva una backdoor in grado di compromettere i sistemi che eseguono il software. Questa backdoor consentiva agli utenti non autorizzati che disponevano di una chiave di crittografia specifica di iniettare codice arbitrario tramite un certificato di accesso SSH. I motivi alla base di questa backdoor sono ancora oggetto di indagine.
In che modo Vectra AI protegge i clienti da exploit come la backdoor XZ Utils?
La piattaforma Vectra AI è in grado di identificare gli aggressori che sfruttano questo tipo di backdoor. Negli incidenti in cui vengono sfruttate backdoor come quella trovata in XZ Utils, le capacità di rilevamento di Vectra AI identificherebbero la sequenza principale della progressione dell'attaccante dall'accesso remoto, alla scoperta e al movimento laterale, ben prima che l'attacco possa raggiungere i suoi obiettivi. I rilevamenti rilevanti relativi allo sfruttamento di XZ Utils includono i tunnel SSH inversi che verrebbero attivati da Suspicious Remote Access e il movimento laterale sul protocollo SSH rilevato da Suspicious Admin.
Come posso scoprire se sono stato esposto alla vulnerabilità XZ Utils?
In risposta all'exploit di XZ Utils, la comunità ha introdotto un progetto denominato xzbot. Offre strumenti alle organizzazioni per valutare la loro esposizione a questa vulnerabilità, tra cui:
- honeypot: falso server vulnerabile per rilevare i tentativi di exploit
- ed448 patch: patchare liblzma.so per usare la nostra chiave pubblica ED448
- formato della backdoor: formato del payload della backdoor
- demo della backdoor: clip per attivare l'RCE assumendo la conoscenza della chiave privata ED448
Come posso proteggermi dalle compromissioni Supply Chain in futuro?
È fondamentale capire che incidenti come questo non devono scoraggiare le organizzazioni dall'utilizzare il software open-source. I rischi della catena di approvvigionamento non sono esclusivi dei progetti open-source; possono anche riguardare il software commerciale, come si è visto nella violazione di SolarWinds. La chiave per mitigare questi rischi sta nell'adozione di tecnologie di rilevamento e risposta, come Vectra AI, in grado di identificare le minacce indipendentemente dagli exploit utilizzati dagli aggressori. Vectra AI elimina la necessità che la fortuna sia l'unico metodo per prevenire una compromissione Supply Chain . Consente il rilevamento come mezzo per individuare in modo affidabile un aggressore se dovesse abusare di XZ Utils o di qualsiasi altro exploit in agguato, concentrandosi sui comportamenti che spaziano tra rete, identità e cloud.
Poiché il panorama delle minacce continua ad evolversi, continueremo a fornire risorse aggiornate per fornire ai difensori informazioni sugli attori delle minacce come Scattered Spider, Midnight Blizzard (APT29) e altri ancora.