Der Schutz vor einer Kompromittierung der Lieferkette sollte nicht nur eine Frage des Glücks sein, aber manchmal ist es so. Besonders deutlich wurde dies bei der jüngsten Kompromittierung der Lieferkette im Zusammenhang mit XZ Utils, einem Open-Source-Datenkomprimierungsprogramm, das unter Linux und Unix-ähnlichen Betriebssystemen weit verbreitet ist. Am 29. März wurde ein bösartiger Commit im XZ Utils-Repository entdeckt, der eine Hintertür einführte, die Systeme, auf denen die Software lief, kompromittierte. Diese Hintertür ermöglichte es unbefugten Benutzern mit einem bestimmten Verschlüsselungsschlüssel, beliebigen Code über ein SSH-Anmeldezertifikat einzuschleusen. Die Beweggründe für diese Hintertür werden noch untersucht.
Wie schützt Vectra AI Kunden vor Exploits wie der XZ Utils Backdoor?
Die Plattform Vectra AI kann Angreifer identifizieren, die diese Art von Hintertüren ausnutzen. In Fällen, in denen Hintertüren wie die in XZ Utils ausgenutzt werden, würden die Erkennungsfunktionen von Vectra AI die Kernsequenz des Angreifers vom Fernzugriff über die Entdeckung bis hin zur seitlichen Bewegung identifizieren, lange bevor der Angriff seine Ziele erreichen kann. Zu den relevanten Erkennungen, die sich speziell auf die Ausnutzung von XZ Utils beziehen, gehören umgekehrte SSH-Tunnel, die von Suspicious Remote Access ausgelöst würden, und laterale Bewegungen über das SSH-Protokoll, die von Suspicious Admin erkannt werden.
Wie kann ich herausfinden, ob ich von der XZ Utils-Schwachstelle betroffen bin?
Als Reaktion auf den XZ Utils Exploit wurde von der Community ein Projekt namens xzbot ins Leben gerufen. Es bietet Tools, mit denen Unternehmen ihre Gefährdung durch diese Schwachstelle einschätzen können, darunter:
- Honeypot: gefälschter verwundbarer Server zum Aufspüren von Ausnutzungsversuchen
- ed448 patch: patch liblzma.so, um unseren eigenen öffentlichen ED448-Schlüssel zu verwenden
- Backdoor-Format: Format der Backdoor-Nutzlast
- Backdoor-Demo: Cli zum Auslösen des RCE bei Kenntnis des privaten Schlüssels ED448
Wie kann ich mich in Zukunft vor Kompromissen in der Lieferkette schützen?
Es ist wichtig zu verstehen, dass Vorfälle wie dieser Unternehmen nicht davon abhalten sollten, Open-Source-Software zu verwenden. Risiken in der Lieferkette bestehen nicht nur bei Open-Source-Projekten, sondern können auch kommerzielle Software betreffen, wie der Vorfall bei SolarWinds gezeigt hat. Der Schlüssel zur Abschwächung dieser Risiken liegt in der Einführung von Erkennungs- und Reaktionstechnologien wie Vectra AI, die Bedrohungen unabhängig von den von den Angreifern verwendeten Exploits identifizieren können. Vectra AI macht es überflüssig, dass Glück die einzige Methode zur Verhinderung einer Kompromittierung der Lieferkette sein muss. Die Erkennung ermöglicht es, einen Angreifer zuverlässig zu erkennen, wenn er XZ Utils oder andere Exploits missbraucht, indem er sich auf Verhaltensweisen konzentriert, die das Netzwerk, die Identität und cloud betreffen.
Da sich die Bedrohungslandschaft ständig weiterentwickelt, werden wir weiterhin aktualisierte Ressourcen zur Verfügung stellen, die Verteidigern Einblicke in Bedrohungsakteure wie Scattered SpiderMidnight Blizzard (APT29) und andere.