Эксперты ГК «Солар» протестировали популярную утилиту XZ Utils для Linux с помощью комплексного решения для контроля безопасности приложений Solar appScreener и убедились в наличии бэкдора CVE-2024-3094. Разработчики Solar appScreener регулярно анализируют данные из open source-библиотек и прогнозируют риски, связанные с авторством сторонних компонентов.
Так, результат проверки разработчика-создателя CVE-2024-3094 системой Solar appScreener показал, что, несмотря на высокие оценки в показателях «Популярность» и «Активность сообщества», оценка по критерию «Авторский состав» низкая. Solar appScreener считает автора недоверенным, а значит, не стоит использовать его пакеты в своем ПО.
В конце марта стало известно об умышленной атаке на утилиту Linux. Бэкдор CVE-2024-3094 был внедрен в утилиту для сжатия данных XZ Utils. Такая уязвимость позволяет получить несанкционированный удаленный доступ ко всей системе. Пакет XZ Utils включен в большинство дистрибутивов и репозиториев Linux, поэтому под угрозой оказались тысячи компаний по всему миру, которые используют их в своих приложениях.
Бэкдор в XZ внедрил один из его разработчиков. Это была целенаправленная атака на цепочку поставки ПО, которую злоумышленник планировал два года.
«В последние годы мы регулярно видим атаки на цепочку поставок среди техник прогосударственных группировок. Тенденция проявилась в нашумевших инцидентах с CCleaner и SolarWinds в 2018 и 2020 году соответственно. Атаки через компоненты свободно распространяемого ПО – относительно новый виток этого тренда и недавний инцидент с бэкдором в XZ (хоть пока и нет четких свидетельств, что атакующие достигли своих целей) показывает, что организаторы сложных атак готовы инвестировать немалые ресурсы в компрометацию подобного ПО. Это означает, что организациям следует учитывать этот риск и применять средства для анализа и выявления атак на цепочки поставок», – отметил Антон Каргин, эксперт группы анализа ВПО центра исследования Solar 4RAYS ГК «Солар».
По мнению экспертов «Солар» атаки на цепочки поставок – один из самых популярных видов атак на ПО. Через open source-библиотеки любой, включая злоумышленников, может вносить уязвимости в проект с открытым исходным кодом.
«Если в компании open source-компоненты бесконтрольно используются в разработке приложений, то вредоносный код рано или поздно попадет коммерческое ПО. Контрибьютер – неизвестный разработчик – не проверяется никакими корпоративными службами безопасности при внесении изменений в код проекта, а владельцы проектов редко задумываются о безопасности своих репозиториев. Так вредоносный код попадает в контур компании», – пояснил Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК «Солар».
Для решения подобных проблем эксперты ГК «Солар» рекомендуют проверять безопасность цепочки поставки на всех этапах пути, по которому ПО попадает в организацию – от момента создания или покупки до этапа использования.
Снизить риски, связанные с использованием ПО из open source-библиотек может комплексное решение для безопасной разработки Solar appScreener. Это единственное решение на рынке, которое содержит модуль SCS (Supply Chain Security) и позволяет анализировать уровень доверия к используемым внешним компонентам на базе восьми параметров (популярность библиотеки, ее авторский состав, заинтересованность в безопасности и др.).
«Модуль SCS – новая технология на рынке, и зачастую пользователям не до конца очевидно его преимущества. Подобные громкие кейсы позволяют подсветить риски, связанные с использованием open sourсe-компонентов. Применение технологии анализа SCS в составе комплексного продукта Solar appScreener дает возможность на основании рейтинга доверия принимать решение об использовании конкретного компонента в разработке», – отметил Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК «Солар».
Существующий функционал продукта Solar appScreener обеспечивает всесторонний контроль безопасности ПО и включает ключевые виды анализа в одном инструменте: статистический анализ кода (SAST) на уязвимости в исходном коде; динамический анализ (DAST) на уязвимости в запущенном приложении; и анализ состава ПО (SCA) для комплексного контроля безопасной разработки.
Vercel сообщила о несанкционированном доступе к части внутренних систем и признала, что инцидент затронул ограниченный круг клиентов.
Злоумышленники начали использовать штатные уведомления Apple об изменении данных аккаунта для рассылки callback-фишинга.
Российские операторы связи предложили ввести плату за регистрацию мобильных устройств в базе IMEI.
«Лаборатория Касперского» открыла прием заявок от спикеров на ежегодную международную конференцию Security Analyst Summit.
UserGate, ведущий российский разработчик решений в области кибербезопасности и архитектор сетевого доверия, запустил сертифицированный образовательный центр в Москве.
Организации, добивающиеся успеха во внедрении искусственного интеллекта, инвестируют в фундаментальные направления, такие как качество данных, управление данными, подготовка персонала и управление изменениями — до четырех раз больше (в доле от выручки), чем компании с неудачными ИИ-инициативами.
Александр Михайлов, руководитель GSOC компании «Газинформсервис», констатирует появление новой глобальной угрозы: киберпреступники все чаще используют взлом ИТ-инфраструктуры транспортно-логистических компаний для организации физических краж грузов.
Компания «Инфосистемы Джет» представила результаты ежегодного исследования рынка информационной безопасности, в котором приняли участие руководители 255 крупных организаций.
Взаимная технологическая совместимость PT Data Security, единственной в России платформы безопасности данных и объектного S3 -хранилища Закрома подтверждена в ходе испытаний.
Более 30 плагинов из пакета EssentialPlugin оказались скомпрометированы вредоносным кодом, который давал посторонним доступ к сайтам на WordPress.
