Поделиться
ГК «Солар»: Solar appScreener подтвердил наличие бэкдора в утилите XZ Utils для Linux
Эксперты ГК «Солар» протестировали популярную утилиту XZ Utils для Linux с помощью комплексного решения для контроля безопасности приложений Solar appScreener и убедились в наличии бэкдора CVE-2024-3094. Разработчики Solar appScreener регулярно анализируют данные из open source-библиотек и прогнозируют риски, связанные с авторством сторонних компонентов. Об этом CNews сообщили представители ГК «Солар».
Так, результат проверки разработчика-создателя CVE-2024-3094 системой Solar appScreener показал, что, несмотря на высокие оценки в показателях «Популярность» и «Активность сообщества», оценка по критерию «Авторский состав» низкая. Solar appScreener считает автора недоверенным, а значит, не стоит использовать его пакеты в своем ПО.
В конце марта 2024 г. стало известно об умышленной атаке на утилиту Linux. Бэкдор CVE-2024-3094 был внедрен в утилиту для сжатия данных XZ Utils. Такая уязвимость позволяет получить несанкционированный удаленный доступ ко всей системе. Пакет XZ Utils включен в большинство дистрибутивов и репозиториев Linux, поэтому под угрозой оказались тысячи компаний по всему миру, которые используют их в своих приложениях.
Бэкдор в XZ внедрил один из его разработчиков. Это была целенаправленная атака на цепочку поставки ПО, которую злоумышленник планировал два года.
«В последние годы мы регулярно видим атаки на цепочку поставок среди техник прогосударственных группировок. Тенденция проявилась в нашумевших инцидентах с CCleaner и SolarWinds в 2018 и 2020 гг. соответственно. Атаки через компоненты свободно распространяемого ПО – относительно новый виток этого тренда и недавний инцидент с бэкдором в XZ (хоть пока и нет четких свидетельств, что атакующие достигли своих целей) показывает, что организаторы сложных атак готовы инвестировать немалые ресурсы в компрометацию подобного ПО. Это означает, что организациям следует учитывать этот риск и применять средства для анализа и выявления атак на цепочки поставок», – отметил Антон Каргин, эксперт группы анализа ВПО центра исследования Solar 4RAYS ГК «Солар».
По мнению экспертов «Солар», атаки на цепочки поставок – один из самых популярных видов атак на ПО. Через open source-библиотеки любой, включая злоумышленников, может вносить уязвимости в проект с открытым исходным кодом.
«Если в компании open source-компоненты бесконтрольно используются в разработке приложений, то вредоносный код рано или поздно попадет коммерческое ПО. Контрибьютер – неизвестный разработчик – не проверяется никакими корпоративными службами безопасности при внесении изменений в код проекта, а владельцы проектов редко задумываются о безопасности своих репозиториев. Так вредоносный код попадает в контур компании», – сказал Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК «Солар».
Для решения подобных проблем эксперты ГК «Солар» рекомендуют проверять безопасность цепочки поставки на всех этапах пути, по которому ПО попадает в организацию – от момента создания или покупки до этапа использования.
***
Solar appScreener — комплексное решение для контроля безопасности приложений, сочетающее в едином интерфейсе статический, динамический анализ, анализ состава ПО и анализ безопасности цепочки поставок ПО (SAST, DAST, SCA, SCS). Продукт сертифицирована ФСТЭК России, внесен в Единый реестр отечественного ПО и может интегрироваться с другими системами для встраивания в цикл безопасной разработки.
Группа компаний «Солар» — архитектор комплексной кибербезопасности. Ключевые направления деятельности — аутсорсинг ИБ, разработка собственных продуктов, обучение ИБ-специалистов, аналитика и исследование киберинцидентов. С 2015 г. предоставляет ИБ-решения организациям от малого бизнеса до крупнейших предприятий ключевых отраслей. Под защитой «Солара» – более 850 компаний России. Компания предлагает сервисыкоммерческого SOC — Solar JSOC, экосистему управляемых сервисов ИБ — Solar MSS. Линейка собственных продуктов включает DLP-решение Solar Dozor, шлюз веб-безопасности Solar webProxy, межсетевой экран нового поколения Solar NGFW, IdM-систему Solar inRights, PAM-систему Solar SafeInspect, анализатор кода Solar appScreener и др.
ГК «Солар» развивает платформу для практической отработки навыков защиты от киберугроз «Солар Кибермир». Работа центра исследования киберугроз Solar 4RAYS нацелена на изучение тактик киберпреступников. Полученные аналитические данные обогащают разработки Центра технологий кибербезопасности.
Группа компаний «Солар» инвестирует в развитие отрасли кибербезопасности и помогает решать проблему кадрового дефицита. Совместно с Минцифры в рамках национального проекта «Цифровая экономика» реализует всероссийскую программу кибергигиены, направленную на повышение цифровой грамотности населения.
Штат компании — более 1 800 специалистов. Подразделения «Солара» расположены в Москве, Санкт-Петербурге, Нижнем Новгороде, Самаре, Ростове-на-Дону, Томске, Хабаровске и Ижевске. Технологии компании и наличие распределенных по всей стране центров компетенций позволяют ей работать в режиме 24/7.
Поделиться
Короткая ссылка
