La protection contre une compromission sur le site Supply Chain ne devrait pas être uniquement une question de chance, mais c'est parfois le cas. C'est ce qui ressort notamment de la récente compromission de la chaîne d'approvisionnement impliquant XZ Utils, un utilitaire de compression de données open-source largement utilisé dans les systèmes d'exploitation Linux et de type Unix. Le 29 mars, un commit malveillant a été découvert dans le dépôt XZ Utils, introduisant une porte dérobée qui compromettrait les systèmes utilisant le logiciel. Cette porte dérobée permettait à des utilisateurs non autorisés disposant d'une clé de chiffrement spécifique d'injecter du code arbitraire via un certificat de connexion SSH. Les motifs de cette porte dérobée sont toujours en cours d'investigation.
Comment Vectra AI protège-t-il les clients contre les exploits tels que la porte dérobée XZ Utils ?
La plateforme Vectra AI peut identifier les attaquants qui exploitent ces types de portes dérobées. Dans les cas où des portes dérobées comme celle trouvée dans XZ Utils sont exploitées, les capacités de détection de Vectra AI permettraient d'identifier la séquence principale de la progression de l'attaquant, de l'accès à distance et de la découverte au mouvement latéral, bien avant que l'attaque n'atteigne ses objectifs. Les détections pertinentes liées spécifiquement à l'exploitation de XZ Utils comprennent les tunnels SSH inversés qui seraient déclenchés par Suspicious Remote Access et le mouvement latéral via le protocole SSH détecté par Suspicious Admin.
Comment puis-je savoir si j'ai été exposé à la vulnérabilité de XZ Utils ?
En réponse à l'exploit XZ Utils, un projet nommé xzbot a été introduit par la communauté. Il propose des outils permettant aux organisations d'évaluer leur exposition à cette vulnérabilité :
- Pot de miel: faux serveur vulnérable pour détecter les tentatives d'exploitation.
- ed448 patch: patch liblzma.so pour utiliser notre propre clé publique ED448
- format de la porte dérobée : format de la charge utile de la porte dérobée
- backdoor demo: cli pour déclencher le RCE en supposant que l'on connaisse la clé privée ED448
Comment puis-je me protéger contre les compromissions de Supply Chain à l'avenir ?
Il est essentiel de comprendre que de tels incidents ne doivent pas dissuader les organisations d'utiliser des logiciels libres. Les risques liés à la chaîne d'approvisionnement ne sont pas l'apanage des projets à code source ouvert ; ils peuvent également affecter les logiciels commerciaux, comme l'a montré la faille de SolarWinds. La clé de l'atténuation de ces risques réside dans l'adoption de technologies de détection et de réponse, telles que Vectra AI, qui peuvent identifier les menaces indépendamment des exploits utilisés par les attaquants. Vectra AI supprime le besoin de chance comme seule méthode de prévention d'une Supply Chain Compromise. La détection permet de repérer de manière fiable un attaquant qui abuserait des XZ Utils ou de n'importe quel autre exploit en attente, en se concentrant sur les comportements tels qu'ils s'étendent sur le réseau, l'identité et le site cloud.
Alors que le paysage des menaces continue d'évoluer, nous continuerons à fournir des ressources mises à jour pour donner aux défenseurs un aperçu des acteurs de la menace tels que Scattered SpiderMidnight Blizzard (APT29), et bien d'autres encore.