So schützen Sie sich vor einer Kompromittierung von Supply Chain : Erkenntnisse aus der XZ Utils-Backdoor

April 10, 2024
John Mancini
Leiterin Produktmanagement bei Vectra AI
So schützen Sie sich vor einer Kompromittierung von Supply Chain : Erkenntnisse aus der XZ Utils-Backdoor

Der Schutz vor einer Supply Chain Kompromittierung sollte nicht nur eine Frage des Glücks sein, aber manchmal kann es das sein. Besonders deutlich wurde dies bei der jüngsten Kompromittierung der Lieferkette, die XZ Utils betraf, ein Open-Source-Datenkomprimierungsprogramm, das unter Linux und Unix-ähnlichen Betriebssystemen weit verbreitet ist. Am 29. März wurde ein bösartiger Commit im XZ Utils-Repository entdeckt, der eine Hintertür einführte, die Systeme, auf denen die Software lief, kompromittierte. Diese Hintertür ermöglichte es unbefugten Benutzern mit einem bestimmten Verschlüsselungsschlüssel, beliebigen Code über ein SSH-Anmeldezertifikat einzuschleusen. Die Beweggründe für diese Hintertür werden noch untersucht.

Wie schützt Vectra AI Kunden vor Exploits wie der XZ Utils Backdoor?

Die Plattform Vectra AI kann Angreifer identifizieren, die diese Art von Hintertüren ausnutzen. In Fällen, in denen Hintertüren wie die in XZ Utils ausgenutzt werden, würden die Erkennungsfunktionen von Vectra AI die Kernsequenz des Angreifers vom Fernzugriff über die Entdeckung bis hin zur seitlichen Bewegung identifizieren, lange bevor der Angriff seine Ziele erreichen kann. Zu den relevanten Erkennungen, die sich speziell auf die Ausnutzung von XZ Utils beziehen, gehören umgekehrte SSH-Tunnel, die von Suspicious Remote Access ausgelöst würden, und laterale Bewegungen über das SSH-Protokoll, die von Suspicious Admin erkannt werden.

Wie kann ich herausfinden, ob ich von der XZ Utils-Schwachstelle betroffen bin?

Als Reaktion auf den XZ Utils Exploit wurde von der Community ein Projekt namens xzbot ins Leben gerufen. Es bietet Tools, mit denen Unternehmen ihre Gefährdung durch diese Schwachstelle einschätzen können, darunter:

  • Honeypot: gefälschter verwundbarer Server zum Aufspüren von Ausnutzungsversuchen
  • ed448 patch: patch liblzma.so, um unseren eigenen öffentlichen ED448-Schlüssel zu verwenden
  • Backdoor-Format: Format der Backdoor-Nutzlast
  • Backdoor-Demo: Cli zum Auslösen des RCE bei Kenntnis des privaten Schlüssels ED448

Wie kann ich mich in Zukunft vor Supply Chain schützen?

Es ist wichtig zu verstehen, dass Vorfälle wie dieser Unternehmen nicht davon abhalten sollten, Open-Source-Software zu verwenden. Risiken in der Lieferkette bestehen nicht nur bei Open-Source-Projekten, sondern können auch kommerzielle Software betreffen, wie der Vorfall bei SolarWinds gezeigt hat. Der Schlüssel zur Abschwächung dieser Risiken liegt im Einsatz von Erkennungs- und Reaktionstechnologien wie Vectra AI, die Bedrohungen unabhängig von den von den Angreifern verwendeten Exploits identifizieren können. Vectra AI macht es überflüssig, dass Glück die einzige Methode zur Verhinderung einer Supply Chain Kompromittierung ist. Die Erkennung ermöglicht es, einen Angreifer zuverlässig zu erkennen, wenn er XZ Utils oder andere Exploits missbraucht, indem er sich auf Verhaltensweisen konzentriert, die das Netzwerk, die Identität und cloud umfassen.

Da sich die Bedrohungslandschaft ständig weiterentwickelt, werden wir weiterhin aktualisierte Ressourcen bereitstellen, um Verteidigern Einblicke in cybercriminels zu geben. Scattered SpiderMidnight Blizzard (APT29) und andere.

Häufig gestellte Fragen