Die Hintertür in Linux' XZ Utils weist auf weitreichende Probleme bei der Sicherheit der Lieferkette hin, und um diese zu verhindern, ist mehr als nur Gemeinschaftsgeist erforderlich.
Die Entdeckung einer raffinierten Software-Lieferkettenverletzung hat die Cybersicherheitsbranche erneut in höchste Alarmbereitschaft versetzt. Diese Schwachstelle, die die mit den wichtigsten Linux-Distributionen gelieferte Datenkomprimierungsbibliothek XZ Utils betrifft, ist unter der Nummer CVE-2024-3094 registriert und geht letztlich auf einen vertrauenswürdigen freiwilligen Systemadministrator zurück, der absichtlich eine Hintertür eingebaut hat. Bei erfolgreicher Ausnutzung kann dies unter Umständen zur Ausführung von Remote-Code führen (RCE) ermöglichen, was zu schwerwiegenden Schäden im bestehenden Software-Build-Prozess führen kann.
Glücklicherweise wurde diese Bedrohung von einem anderen Administrator entdeckt, bevor der Schadcode in eine stabile Linux-Version gelangte. Für Benutzer, die XZ Utils Version 5.6.0 und 5.6.1 als Teil von Fedora Rawhide ausführen, ist dies jedoch nach wie vor ein Problem, und für Unternehmen hat die Installation des Patches höchste Priorität.Wäre diese Entdeckung nicht rechtzeitig erfolgt, hätte sich dieser Vorfall angesichts des Risikoprofils wahrscheinlich als einer der zerstörerischsten Angriffe auf die Lieferkette erwiesen, der sogar SolarWinds übertrifft.
Dass wichtige Systeme von freiwilligen Community-Mitgliedern gewartet werden, ist zwar weithin bekannt, wird aber kaum diskutiert, bis ein so folgenschweres Problem wie dieses ans Licht kommt. Ihre unermüdlichen Bemühungen sind für die Wartung von Open-Source-Software unverzichtbar, aber sie unterstreichen auch die Notwendigkeit, den Fokus auf Sicherheitstechniken und -bewusstsein auf Entwicklerebene zu legen, ganz zu schweigen von einer strengeren Zugriffskontrolle für Software-Repositorys.
Was ist ein XZ Utils-Backdoor und wie kann man sie entschärfen?
Am 29. März veröffentlichte Red Hat eine dringende Sicherheitswarnung. Diese richtet sich an Nutzer von Fedora Linux 4.0 und Fedora Rawhide und informiert darüber, dass die neueste Version des Komprimierungswerkzeugs und der Bibliothek „XZ“ Malware enthält, die offenbar speziell dafür entwickelt wurde, unbefugten Zugriff durch Dritte zu ermöglichen. Wie dieser Schadcode eingeschleust wurde, wird Gegenstand intensiver Untersuchungen sein. Es handelt sich jedoch um eine ausgeklügelte und geduldige Social-Engineering-Praxis, die über Jahre hinweg von einem Angreifer unter einem Pseudonym betrieben wurde. Der Angreifer namens „Zia Tan” hat über zwei Jahre lang legitime Beiträge zum XZ Utils-Projekt und zur Community geleistet und unzählige Stunden damit verbracht, das Vertrauen anderer Maintainer zu gewinnen. Nachdem das Vertrauen in den Eigentümer des Freiwilligenprojekts, Lasse Collin, aufgrund mehrerer Sockpuppet-Konten geschwächt war, erlangte er schließlich den Status eines „vertrauenswürdigen Administrators”.
Dieses ungewöhnliche Szenario ist ein typisches Beispiel dafür, wie technisch versierte Personen Opfer von Taktiken werden, die normalerweise von Personen mit unzureichenden Kenntnissen angewendet werden, und verdeutlicht die Notwendigkeit einer präzisen, rollenbasierten Sicherheitsschulung. Dies war nur dank der Neugier und der schnellen Auffassungsgabe eines Microsoft-Softwareentwicklers und PostgreSQL-Administrators möglich. Andres Prowndbackwurde entdeckt und die Version zurückgesetzt, wodurch der möglicherweise zerstörerischste Angriff auf die Lieferkette in der jüngeren Geschichte verhindert werden konnte.
Die Hintertür selbst wird offiziell als die schwerwiegendste Schwachstelle eingestuft. NIST-Register. Zunächst wurde angenommen, dass sie eine Umgehung der SSH-Authentifizierung ermöglichen würde, doch weitere Untersuchungen ergaben, dass sie auf anfälligen Linux-Systemen, darunter Fedora Rawhide, Fedora 41, Kali Linux, OpenSUSE Micro OS, OpenSUSE Tumbleweed und einigen Debian-Versionen, die Ausführung von nicht authentifiziertem Remote-Code ermöglichen.
Jia Tan scheint viel Aufwand betrieben zu haben, um das bösartige Paket zu finden. Das bösartige Paket wird während des Build-Prozesses selbstständig konfiguriert und stört dann die SSHD-Authentifizierung über systemd. Wie Red Hat ausführlich beschreibt, kann ein Angreifer durch diese Störung unter bestimmten Umständen potenziell die SSHD-Authentifizierung umgehen und sich unbefugten Fernzugriff auf das gesamte System verschaffen.
마이크로소프트는 그 중에서도 포괄적인 지침 발표 시스템에서 익스플로잇 인스턴스를 검색하고 그 영향을 완화하는 것과 다음 기관에서 권장하는 즉각적인 조치에 대해 CISA 영향 받는 개발자와 사용자는 XZ Utils 5.4.6 Stable과 같은 손상되지 않은 버전으로 XZ Utils를 다운그레이드해야 한다는 것입니다.
이러한 유형의 공격을 방지하는 것은 매우 어렵습니다. Dies liegt insbesondere daran, dass bei der Verwendung von Open-Source-Komponenten in Software kaum Sicherheit und Transparenz hinsichtlich der Lieferkette gegeben ist. Wir haben bereits zufällige Fehler in der Software-Lieferkette behoben, aber es hat sich gezeigt, dass zu diesen Risiken auch Sicherheitslücken gehören, die absichtlich mit böswilliger Absicht eingebaut wurden, um die Open-Source-Sicherheit zu untergraben.
Die meisten Entwickler sind sehr sicherheitsbewusst, verfügen über umfangreiches Sicherheitswissen und sind nicht besonders paranoid, sodass sie Angriffe dieser Art nicht verhindern können. Dies erfordert fast schon die Denkweise eines Angreifers. Die wichtigste Überlegung sollte jedoch immer das Quellcode-Repository sein. Es wird intern kontrolliert (d. h. es handelt sich nicht um Open Source). Diese Informationen sollten nur Personen mit nachgewiesenen einschlägigen Sicherheitskenntnissen zugänglich sein. AppSec-Experten können Einstellungen wie Sicherheitskontrollen auf Branch-Ebene in Betracht ziehen, die es nur sicherheitsbewussten Entwicklern ermöglichen, Änderungen an den endgültigen Master-Branches vorzunehmen.
Freiwillige Maintainer sind Helden, aber es erfordert viel Aufwand, um Software sicher zu halten.
Für Menschen außerhalb des Bereichs der Softwareentwicklung ist es schwer zu verstehen, dass eine aktive Gemeinschaft von Freiwilligen in ihrer Freizeit wichtige Systeme instand hält. Dies ist jedoch ein Merkmal der Open-Source-Entwicklung und stellt für Sicherheitsexperten, die die Lieferkette schützen, nach wie vor ein ernstes Risiko dar.
Open-Source-Software spielt in fast allen digitalen Ökosystemen von Unternehmen eine wichtige Rolle. Zuverlässige Wartungsfachleute (die meist in guter Absicht handeln) sind wahre Helden, die selbstlos nach technologischem Fortschritt und Integrität streben, aber es ist unsinnig, sie weiterhin isoliert arbeiten zu lassen.In dieser von DevSecOps geprägten Zeit ist Sicherheit eine gemeinsame Verantwortung, und alle Entwickler müssen über das Wissen und die geeigneten Werkzeuge verfügen, um Sicherheitsprobleme zu lösen, die während ihrer Arbeit auftreten können. Sicherheitsbewusstsein und praktische Fähigkeiten müssen im Softwareentwicklungsprozess ein unverzichtbarer Bestandteil sein, und es ist die Aufgabe der Sicherheitsverantwortlichen, Veränderungen auf Unternehmensebene zu beeinflussen.
Bauen Sie auf der Grundlage fundierter Informationen eine erfolgreiche Sicherheitskultur in Ihrem Unternehmen auf. Schulungskurs Von Secure Code Warrior.
In der Datenkomprimierungsbibliothek XZ Utils, die in wichtigen Linux-Distributionen verwendet wird, wurde die schwerwiegende Sicherheitslücke CVE-2024-3094 entdeckt, die von Angreifern über eine Hintertür eingeführt wurde.Dieses Problem mit hoher Schweregradstufe ermöglicht die potenzielle Ausführung von Remote-Code und stellt somit eine ernsthafte Gefahr für den Software-Build-Prozess dar. Der Fehler betrifft die frühen Versionen (5.6.0 und 5.6.1) von XZ Utils in Fedora Rawhide betrifft und erfordert die dringende Implementierung von Patches durch die Organisation. Dieser Vorfall unterstreicht die wichtige Rolle von Freiwilligen aus der Community bei der Wartung von Open-Source-Software und betont die Notwendigkeit verbesserter Sicherheitspraktiken und Zugriffskontrollen innerhalb des Softwareentwicklungslebenszyklus.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Die Entdeckung einer raffinierten Software-Lieferkettenverletzung hat die Cybersicherheitsbranche erneut in höchste Alarmbereitschaft versetzt. Diese Schwachstelle, die die mit den wichtigsten Linux-Distributionen gelieferte Datenkomprimierungsbibliothek XZ Utils betrifft, ist unter der Nummer CVE-2024-3094 registriert und geht letztlich auf einen vertrauenswürdigen freiwilligen Systemadministrator zurück, der absichtlich eine Hintertür eingebaut hat. Bei erfolgreicher Ausnutzung kann dies unter Umständen zur Ausführung von Remote-Code führen (RCE) ermöglichen, was zu schwerwiegenden Schäden im bestehenden Software-Build-Prozess führen kann.
Glücklicherweise wurde diese Bedrohung von einem anderen Administrator entdeckt, bevor der Schadcode in eine stabile Linux-Version gelangte. Für Benutzer, die XZ Utils Version 5.6.0 und 5.6.1 als Teil von Fedora Rawhide ausführen, ist dies jedoch nach wie vor ein Problem, und für Unternehmen hat die Installation des Patches höchste Priorität.Wäre diese Entdeckung nicht rechtzeitig erfolgt, hätte sich dieser Vorfall angesichts des Risikoprofils wahrscheinlich als einer der zerstörerischsten Angriffe auf die Lieferkette erwiesen, der sogar SolarWinds übertrifft.
Dass wichtige Systeme von freiwilligen Community-Mitgliedern gewartet werden, ist zwar weithin bekannt, wird aber kaum diskutiert, bis ein so folgenschweres Problem wie dieses ans Licht kommt. Ihre unermüdlichen Bemühungen sind für die Wartung von Open-Source-Software unverzichtbar, aber sie unterstreichen auch die Notwendigkeit, den Fokus auf Sicherheitstechniken und -bewusstsein auf Entwicklerebene zu legen, ganz zu schweigen von einer strengeren Zugriffskontrolle für Software-Repositorys.
Was ist ein XZ Utils-Backdoor und wie kann man sie entschärfen?
Am 29. März veröffentlichte Red Hat eine dringende Sicherheitswarnung. Diese richtet sich an Nutzer von Fedora Linux 4.0 und Fedora Rawhide und informiert darüber, dass die neueste Version des Komprimierungswerkzeugs und der Bibliothek „XZ“ Malware enthält, die offenbar speziell dafür entwickelt wurde, unbefugten Zugriff durch Dritte zu ermöglichen. Wie dieser Schadcode eingeschleust wurde, wird Gegenstand intensiver Untersuchungen sein. Es handelt sich jedoch um eine ausgeklügelte und geduldige Social-Engineering-Praxis, die über Jahre hinweg von einem Angreifer unter einem Pseudonym betrieben wurde. Der Angreifer namens „Zia Tan” hat über zwei Jahre lang legitime Beiträge zum XZ Utils-Projekt und zur Community geleistet und unzählige Stunden damit verbracht, das Vertrauen anderer Maintainer zu gewinnen. Nachdem das Vertrauen in den Eigentümer des Freiwilligenprojekts, Lasse Collin, aufgrund mehrerer Sockpuppet-Konten geschwächt war, erlangte er schließlich den Status eines „vertrauenswürdigen Administrators”.
Dieses ungewöhnliche Szenario ist ein typisches Beispiel dafür, wie technisch versierte Personen Opfer von Taktiken werden, die normalerweise von Personen mit unzureichenden Kenntnissen angewendet werden, und verdeutlicht die Notwendigkeit einer präzisen, rollenbasierten Sicherheitsschulung. Dies war nur dank der Neugier und der schnellen Auffassungsgabe eines Microsoft-Softwareentwicklers und PostgreSQL-Administrators möglich. Andres Prowndbackwurde entdeckt und die Version zurückgesetzt, wodurch der möglicherweise zerstörerischste Angriff auf die Lieferkette in der jüngeren Geschichte verhindert werden konnte.
Die Hintertür selbst wird offiziell als die schwerwiegendste Schwachstelle eingestuft. NIST-Register. Zunächst wurde angenommen, dass sie eine Umgehung der SSH-Authentifizierung ermöglichen würde, doch weitere Untersuchungen ergaben, dass sie auf anfälligen Linux-Systemen, darunter Fedora Rawhide, Fedora 41, Kali Linux, OpenSUSE Micro OS, OpenSUSE Tumbleweed und einigen Debian-Versionen, die Ausführung von nicht authentifiziertem Remote-Code ermöglichen.
Jia Tan scheint viel Aufwand betrieben zu haben, um das bösartige Paket zu finden. Das bösartige Paket wird während des Build-Prozesses selbstständig konfiguriert und stört dann die SSHD-Authentifizierung über systemd. Wie Red Hat ausführlich beschreibt, kann ein Angreifer durch diese Störung unter bestimmten Umständen potenziell die SSHD-Authentifizierung umgehen und sich unbefugten Fernzugriff auf das gesamte System verschaffen.
마이크로소프트는 그 중에서도 포괄적인 지침 발표 시스템에서 익스플로잇 인스턴스를 검색하고 그 영향을 완화하는 것과 다음 기관에서 권장하는 즉각적인 조치에 대해 CISA 영향 받는 개발자와 사용자는 XZ Utils 5.4.6 Stable과 같은 손상되지 않은 버전으로 XZ Utils를 다운그레이드해야 한다는 것입니다.
이러한 유형의 공격을 방지하는 것은 매우 어렵습니다. Dies liegt insbesondere daran, dass bei der Verwendung von Open-Source-Komponenten in Software kaum Sicherheit und Transparenz hinsichtlich der Lieferkette gegeben ist. Wir haben bereits zufällige Fehler in der Software-Lieferkette behoben, aber es hat sich gezeigt, dass zu diesen Risiken auch Sicherheitslücken gehören, die absichtlich mit böswilliger Absicht eingebaut wurden, um die Open-Source-Sicherheit zu untergraben.
Die meisten Entwickler sind sehr sicherheitsbewusst, verfügen über umfangreiches Sicherheitswissen und sind nicht besonders paranoid, sodass sie Angriffe dieser Art nicht verhindern können. Dies erfordert fast schon die Denkweise eines Angreifers. Die wichtigste Überlegung sollte jedoch immer das Quellcode-Repository sein. Es wird intern kontrolliert (d. h. es handelt sich nicht um Open Source). Diese Informationen sollten nur Personen mit nachgewiesenen einschlägigen Sicherheitskenntnissen zugänglich sein. AppSec-Experten können Einstellungen wie Sicherheitskontrollen auf Branch-Ebene in Betracht ziehen, die es nur sicherheitsbewussten Entwicklern ermöglichen, Änderungen an den endgültigen Master-Branches vorzunehmen.
Freiwillige Maintainer sind Helden, aber es erfordert viel Aufwand, um Software sicher zu halten.
Für Menschen außerhalb des Bereichs der Softwareentwicklung ist es schwer zu verstehen, dass eine aktive Gemeinschaft von Freiwilligen in ihrer Freizeit wichtige Systeme instand hält. Dies ist jedoch ein Merkmal der Open-Source-Entwicklung und stellt für Sicherheitsexperten, die die Lieferkette schützen, nach wie vor ein ernstes Risiko dar.
Open-Source-Software spielt in fast allen digitalen Ökosystemen von Unternehmen eine wichtige Rolle. Zuverlässige Wartungsfachleute (die meist in guter Absicht handeln) sind wahre Helden, die selbstlos nach technologischem Fortschritt und Integrität streben, aber es ist unsinnig, sie weiterhin isoliert arbeiten zu lassen.In dieser von DevSecOps geprägten Zeit ist Sicherheit eine gemeinsame Verantwortung, und alle Entwickler müssen über das Wissen und die geeigneten Werkzeuge verfügen, um Sicherheitsprobleme zu lösen, die während ihrer Arbeit auftreten können. Sicherheitsbewusstsein und praktische Fähigkeiten müssen im Softwareentwicklungsprozess ein unverzichtbarer Bestandteil sein, und es ist die Aufgabe der Sicherheitsverantwortlichen, Veränderungen auf Unternehmensebene zu beeinflussen.
Bauen Sie auf der Grundlage fundierter Informationen eine erfolgreiche Sicherheitskultur in Ihrem Unternehmen auf. Schulungskurs Von Secure Code Warrior.
Die Entdeckung einer raffinierten Software-Lieferkettenverletzung hat die Cybersicherheitsbranche erneut in höchste Alarmbereitschaft versetzt. Diese Schwachstelle, die die mit den wichtigsten Linux-Distributionen gelieferte Datenkomprimierungsbibliothek XZ Utils betrifft, ist unter der Nummer CVE-2024-3094 registriert und geht letztlich auf einen vertrauenswürdigen freiwilligen Systemadministrator zurück, der absichtlich eine Hintertür eingebaut hat. Bei erfolgreicher Ausnutzung kann dies unter Umständen zur Ausführung von Remote-Code führen (RCE) ermöglichen, was zu schwerwiegenden Schäden im bestehenden Software-Build-Prozess führen kann.
Glücklicherweise wurde diese Bedrohung von einem anderen Administrator entdeckt, bevor der Schadcode in eine stabile Linux-Version gelangte. Für Benutzer, die XZ Utils Version 5.6.0 und 5.6.1 als Teil von Fedora Rawhide ausführen, ist dies jedoch nach wie vor ein Problem, und für Unternehmen hat die Installation des Patches höchste Priorität.Wäre diese Entdeckung nicht rechtzeitig erfolgt, hätte sich dieser Vorfall angesichts des Risikoprofils wahrscheinlich als einer der zerstörerischsten Angriffe auf die Lieferkette erwiesen, der sogar SolarWinds übertrifft.
Dass wichtige Systeme von freiwilligen Community-Mitgliedern gewartet werden, ist zwar weithin bekannt, wird aber kaum diskutiert, bis ein so folgenschweres Problem wie dieses ans Licht kommt. Ihre unermüdlichen Bemühungen sind für die Wartung von Open-Source-Software unverzichtbar, aber sie unterstreichen auch die Notwendigkeit, den Fokus auf Sicherheitstechniken und -bewusstsein auf Entwicklerebene zu legen, ganz zu schweigen von einer strengeren Zugriffskontrolle für Software-Repositorys.
Was ist ein XZ Utils-Backdoor und wie kann man sie entschärfen?
Am 29. März veröffentlichte Red Hat eine dringende Sicherheitswarnung. Diese richtet sich an Nutzer von Fedora Linux 4.0 und Fedora Rawhide und informiert darüber, dass die neueste Version des Komprimierungswerkzeugs und der Bibliothek „XZ“ Malware enthält, die offenbar speziell dafür entwickelt wurde, unbefugten Zugriff durch Dritte zu ermöglichen. Wie dieser Schadcode eingeschleust wurde, wird Gegenstand intensiver Untersuchungen sein. Es handelt sich jedoch um eine ausgeklügelte und geduldige Social-Engineering-Praxis, die über Jahre hinweg von einem Angreifer unter einem Pseudonym betrieben wurde. Der Angreifer namens „Zia Tan” hat über zwei Jahre lang legitime Beiträge zum XZ Utils-Projekt und zur Community geleistet und unzählige Stunden damit verbracht, das Vertrauen anderer Maintainer zu gewinnen. Nachdem das Vertrauen in den Eigentümer des Freiwilligenprojekts, Lasse Collin, aufgrund mehrerer Sockpuppet-Konten geschwächt war, erlangte er schließlich den Status eines „vertrauenswürdigen Administrators”.
Dieses ungewöhnliche Szenario ist ein typisches Beispiel dafür, wie technisch versierte Personen Opfer von Taktiken werden, die normalerweise von Personen mit unzureichenden Kenntnissen angewendet werden, und verdeutlicht die Notwendigkeit einer präzisen, rollenbasierten Sicherheitsschulung. Dies war nur dank der Neugier und der schnellen Auffassungsgabe eines Microsoft-Softwareentwicklers und PostgreSQL-Administrators möglich. Andres Prowndbackwurde entdeckt und die Version zurückgesetzt, wodurch der möglicherweise zerstörerischste Angriff auf die Lieferkette in der jüngeren Geschichte verhindert werden konnte.
Die Hintertür selbst wird offiziell als die schwerwiegendste Schwachstelle eingestuft. NIST-Register. Zunächst wurde angenommen, dass sie eine Umgehung der SSH-Authentifizierung ermöglichen würde, doch weitere Untersuchungen ergaben, dass sie auf anfälligen Linux-Systemen, darunter Fedora Rawhide, Fedora 41, Kali Linux, OpenSUSE Micro OS, OpenSUSE Tumbleweed und einigen Debian-Versionen, die Ausführung von nicht authentifiziertem Remote-Code ermöglichen.
Jia Tan scheint viel Aufwand betrieben zu haben, um das bösartige Paket zu finden. Das bösartige Paket wird während des Build-Prozesses selbstständig konfiguriert und stört dann die SSHD-Authentifizierung über systemd. Wie Red Hat ausführlich beschreibt, kann ein Angreifer durch diese Störung unter bestimmten Umständen potenziell die SSHD-Authentifizierung umgehen und sich unbefugten Fernzugriff auf das gesamte System verschaffen.
마이크로소프트는 그 중에서도 포괄적인 지침 발표 시스템에서 익스플로잇 인스턴스를 검색하고 그 영향을 완화하는 것과 다음 기관에서 권장하는 즉각적인 조치에 대해 CISA 영향 받는 개발자와 사용자는 XZ Utils 5.4.6 Stable과 같은 손상되지 않은 버전으로 XZ Utils를 다운그레이드해야 한다는 것입니다.
이러한 유형의 공격을 방지하는 것은 매우 어렵습니다. Dies liegt insbesondere daran, dass bei der Verwendung von Open-Source-Komponenten in Software kaum Sicherheit und Transparenz hinsichtlich der Lieferkette gegeben ist. Wir haben bereits zufällige Fehler in der Software-Lieferkette behoben, aber es hat sich gezeigt, dass zu diesen Risiken auch Sicherheitslücken gehören, die absichtlich mit böswilliger Absicht eingebaut wurden, um die Open-Source-Sicherheit zu untergraben.
Die meisten Entwickler sind sehr sicherheitsbewusst, verfügen über umfangreiches Sicherheitswissen und sind nicht besonders paranoid, sodass sie Angriffe dieser Art nicht verhindern können. Dies erfordert fast schon die Denkweise eines Angreifers. Die wichtigste Überlegung sollte jedoch immer das Quellcode-Repository sein. Es wird intern kontrolliert (d. h. es handelt sich nicht um Open Source). Diese Informationen sollten nur Personen mit nachgewiesenen einschlägigen Sicherheitskenntnissen zugänglich sein. AppSec-Experten können Einstellungen wie Sicherheitskontrollen auf Branch-Ebene in Betracht ziehen, die es nur sicherheitsbewussten Entwicklern ermöglichen, Änderungen an den endgültigen Master-Branches vorzunehmen.
Freiwillige Maintainer sind Helden, aber es erfordert viel Aufwand, um Software sicher zu halten.
Für Menschen außerhalb des Bereichs der Softwareentwicklung ist es schwer zu verstehen, dass eine aktive Gemeinschaft von Freiwilligen in ihrer Freizeit wichtige Systeme instand hält. Dies ist jedoch ein Merkmal der Open-Source-Entwicklung und stellt für Sicherheitsexperten, die die Lieferkette schützen, nach wie vor ein ernstes Risiko dar.
Open-Source-Software spielt in fast allen digitalen Ökosystemen von Unternehmen eine wichtige Rolle. Zuverlässige Wartungsfachleute (die meist in guter Absicht handeln) sind wahre Helden, die selbstlos nach technologischem Fortschritt und Integrität streben, aber es ist unsinnig, sie weiterhin isoliert arbeiten zu lassen.In dieser von DevSecOps geprägten Zeit ist Sicherheit eine gemeinsame Verantwortung, und alle Entwickler müssen über das Wissen und die geeigneten Werkzeuge verfügen, um Sicherheitsprobleme zu lösen, die während ihrer Arbeit auftreten können. Sicherheitsbewusstsein und praktische Fähigkeiten müssen im Softwareentwicklungsprozess ein unverzichtbarer Bestandteil sein, und es ist die Aufgabe der Sicherheitsverantwortlichen, Veränderungen auf Unternehmensebene zu beeinflussen.
Bauen Sie auf der Grundlage fundierter Informationen eine erfolgreiche Sicherheitskultur in Ihrem Unternehmen auf. Schulungskurs Von Secure Code Warrior.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Die Entdeckung einer raffinierten Software-Lieferkettenverletzung hat die Cybersicherheitsbranche erneut in höchste Alarmbereitschaft versetzt. Diese Schwachstelle, die die mit den wichtigsten Linux-Distributionen gelieferte Datenkomprimierungsbibliothek XZ Utils betrifft, ist unter der Nummer CVE-2024-3094 registriert und geht letztlich auf einen vertrauenswürdigen freiwilligen Systemadministrator zurück, der absichtlich eine Hintertür eingebaut hat. Bei erfolgreicher Ausnutzung kann dies unter Umständen zur Ausführung von Remote-Code führen (RCE) ermöglichen, was zu schwerwiegenden Schäden im bestehenden Software-Build-Prozess führen kann.
Glücklicherweise wurde diese Bedrohung von einem anderen Administrator entdeckt, bevor der Schadcode in eine stabile Linux-Version gelangte. Für Benutzer, die XZ Utils Version 5.6.0 und 5.6.1 als Teil von Fedora Rawhide ausführen, ist dies jedoch nach wie vor ein Problem, und für Unternehmen hat die Installation des Patches höchste Priorität.Wäre diese Entdeckung nicht rechtzeitig erfolgt, hätte sich dieser Vorfall angesichts des Risikoprofils wahrscheinlich als einer der zerstörerischsten Angriffe auf die Lieferkette erwiesen, der sogar SolarWinds übertrifft.
Dass wichtige Systeme von freiwilligen Community-Mitgliedern gewartet werden, ist zwar weithin bekannt, wird aber kaum diskutiert, bis ein so folgenschweres Problem wie dieses ans Licht kommt. Ihre unermüdlichen Bemühungen sind für die Wartung von Open-Source-Software unverzichtbar, aber sie unterstreichen auch die Notwendigkeit, den Fokus auf Sicherheitstechniken und -bewusstsein auf Entwicklerebene zu legen, ganz zu schweigen von einer strengeren Zugriffskontrolle für Software-Repositorys.
Was ist ein XZ Utils-Backdoor und wie kann man sie entschärfen?
Am 29. März veröffentlichte Red Hat eine dringende Sicherheitswarnung. Diese richtet sich an Nutzer von Fedora Linux 4.0 und Fedora Rawhide und informiert darüber, dass die neueste Version des Komprimierungswerkzeugs und der Bibliothek „XZ“ Malware enthält, die offenbar speziell dafür entwickelt wurde, unbefugten Zugriff durch Dritte zu ermöglichen. Wie dieser Schadcode eingeschleust wurde, wird Gegenstand intensiver Untersuchungen sein. Es handelt sich jedoch um eine ausgeklügelte und geduldige Social-Engineering-Praxis, die über Jahre hinweg von einem Angreifer unter einem Pseudonym betrieben wurde. Der Angreifer namens „Zia Tan” hat über zwei Jahre lang legitime Beiträge zum XZ Utils-Projekt und zur Community geleistet und unzählige Stunden damit verbracht, das Vertrauen anderer Maintainer zu gewinnen. Nachdem das Vertrauen in den Eigentümer des Freiwilligenprojekts, Lasse Collin, aufgrund mehrerer Sockpuppet-Konten geschwächt war, erlangte er schließlich den Status eines „vertrauenswürdigen Administrators”.
Dieses ungewöhnliche Szenario ist ein typisches Beispiel dafür, wie technisch versierte Personen Opfer von Taktiken werden, die normalerweise von Personen mit unzureichenden Kenntnissen angewendet werden, und verdeutlicht die Notwendigkeit einer präzisen, rollenbasierten Sicherheitsschulung. Dies war nur dank der Neugier und der schnellen Auffassungsgabe eines Microsoft-Softwareentwicklers und PostgreSQL-Administrators möglich. Andres Prowndbackwurde entdeckt und die Version zurückgesetzt, wodurch der möglicherweise zerstörerischste Angriff auf die Lieferkette in der jüngeren Geschichte verhindert werden konnte.
Die Hintertür selbst wird offiziell als die schwerwiegendste Schwachstelle eingestuft. NIST-Register. Zunächst wurde angenommen, dass sie eine Umgehung der SSH-Authentifizierung ermöglichen würde, doch weitere Untersuchungen ergaben, dass sie auf anfälligen Linux-Systemen, darunter Fedora Rawhide, Fedora 41, Kali Linux, OpenSUSE Micro OS, OpenSUSE Tumbleweed und einigen Debian-Versionen, die Ausführung von nicht authentifiziertem Remote-Code ermöglichen.
Jia Tan scheint viel Aufwand betrieben zu haben, um das bösartige Paket zu finden. Das bösartige Paket wird während des Build-Prozesses selbstständig konfiguriert und stört dann die SSHD-Authentifizierung über systemd. Wie Red Hat ausführlich beschreibt, kann ein Angreifer durch diese Störung unter bestimmten Umständen potenziell die SSHD-Authentifizierung umgehen und sich unbefugten Fernzugriff auf das gesamte System verschaffen.
마이크로소프트는 그 중에서도 포괄적인 지침 발표 시스템에서 익스플로잇 인스턴스를 검색하고 그 영향을 완화하는 것과 다음 기관에서 권장하는 즉각적인 조치에 대해 CISA 영향 받는 개발자와 사용자는 XZ Utils 5.4.6 Stable과 같은 손상되지 않은 버전으로 XZ Utils를 다운그레이드해야 한다는 것입니다.
이러한 유형의 공격을 방지하는 것은 매우 어렵습니다. Dies liegt insbesondere daran, dass bei der Verwendung von Open-Source-Komponenten in Software kaum Sicherheit und Transparenz hinsichtlich der Lieferkette gegeben ist. Wir haben bereits zufällige Fehler in der Software-Lieferkette behoben, aber es hat sich gezeigt, dass zu diesen Risiken auch Sicherheitslücken gehören, die absichtlich mit böswilliger Absicht eingebaut wurden, um die Open-Source-Sicherheit zu untergraben.
Die meisten Entwickler sind sehr sicherheitsbewusst, verfügen über umfangreiches Sicherheitswissen und sind nicht besonders paranoid, sodass sie Angriffe dieser Art nicht verhindern können. Dies erfordert fast schon die Denkweise eines Angreifers. Die wichtigste Überlegung sollte jedoch immer das Quellcode-Repository sein. Es wird intern kontrolliert (d. h. es handelt sich nicht um Open Source). Diese Informationen sollten nur Personen mit nachgewiesenen einschlägigen Sicherheitskenntnissen zugänglich sein. AppSec-Experten können Einstellungen wie Sicherheitskontrollen auf Branch-Ebene in Betracht ziehen, die es nur sicherheitsbewussten Entwicklern ermöglichen, Änderungen an den endgültigen Master-Branches vorzunehmen.
Freiwillige Maintainer sind Helden, aber es erfordert viel Aufwand, um Software sicher zu halten.
Für Menschen außerhalb des Bereichs der Softwareentwicklung ist es schwer zu verstehen, dass eine aktive Gemeinschaft von Freiwilligen in ihrer Freizeit wichtige Systeme instand hält. Dies ist jedoch ein Merkmal der Open-Source-Entwicklung und stellt für Sicherheitsexperten, die die Lieferkette schützen, nach wie vor ein ernstes Risiko dar.
Open-Source-Software spielt in fast allen digitalen Ökosystemen von Unternehmen eine wichtige Rolle. Zuverlässige Wartungsfachleute (die meist in guter Absicht handeln) sind wahre Helden, die selbstlos nach technologischem Fortschritt und Integrität streben, aber es ist unsinnig, sie weiterhin isoliert arbeiten zu lassen.In dieser von DevSecOps geprägten Zeit ist Sicherheit eine gemeinsame Verantwortung, und alle Entwickler müssen über das Wissen und die geeigneten Werkzeuge verfügen, um Sicherheitsprobleme zu lösen, die während ihrer Arbeit auftreten können. Sicherheitsbewusstsein und praktische Fähigkeiten müssen im Softwareentwicklungsprozess ein unverzichtbarer Bestandteil sein, und es ist die Aufgabe der Sicherheitsverantwortlichen, Veränderungen auf Unternehmensebene zu beeinflussen.
Bauen Sie auf der Grundlage fundierter Informationen eine erfolgreiche Sicherheitskultur in Ihrem Unternehmen auf. Schulungskurs Von Secure Code Warrior.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
