Die XZ-Utils-Backdoor in Linux weist auf ein umfassenderes Sicherheitsproblem in der Lieferkette hin. Um dies zu verhindern, brauchen wir mehr als nur Gemeinschaftsgeist.
Nach der Entdeckung einer heimtückischen Sicherheitslücke in der Software-Lieferkette befindet sich die Cybersicherheitsbranche erneut in höchster Alarmbereitschaft. Die Sicherheitslücke betrifft die mit den wichtigsten Linux-Distributionen gelieferte Datenkomprimierungsbibliothek XZ Utilsdie unter CVE-2024-3094 registriert ist und auf eine absichtlich von einem einst vertrauenswürdigen freiwilligen Systemadministrator eingefügte Hintertür zurückzuführen ist. Bei erfolgreicher Ausnutzung ermöglicht sie unter bestimmten Umständen die Remote-Ausführung von Code (RCE) und stellt somit eine schwerwiegende Bedrohung dar, die den etablierten Software-Build-Prozess erheblich beeinträchtigen kann.
Glücklicherweise entdeckte ein anderer Administrator diese Bedrohung, bevor der bösartige Code in die stabile Linux-Version gelangte.Für diejenigen, die XZ Utils 5.6.0 und 5.6.1 als Teil von Fedora Rawhide ausführen, stellt dies jedoch weiterhin ein Problem dar, und Organisationen werden dringend aufgefordert, das Problem als dringliche Priorität zu beheben. Wäre diese Entdeckung nicht rechtzeitig gemacht worden, hätte das Risiko dazu geführt, dass dies einer der zerstörerischsten Supply-Chain-Angriffe seit Beginn der Aufzeichnungen geworden wäre, der sogar SolarWinds in den Schatten gestellt hätte.
Die Abhängigkeit von freiwilligen Community-Mitgliedern für die Wartung kritischer Systeme ist zwar weithin bekannt, wird jedoch selten diskutiert, bis Probleme mit großer Tragweite wie dieser Vorfall auftreten. Obwohl ihre unermüdliche Arbeit für die Wartung von Open-Source-Software von entscheidender Bedeutung ist, unterstreicht dies die Notwendigkeit, auf Entwicklerebene ernsthaft Wert auf Sicherheitskompetenzen und -bewusstsein zu legen, ganz zu schweigen von der Stärkung der Zugriffskontrolle für Software-Repositorys.
Was ist das XZ Utils-Backdoor-Programm und wie kann man es entschärfen?
Am 29. März veröffentlichte Red Hat eine dringende Sicherheitswarnung, in der Benutzer von Fedora Linux 40 und Fedora Rawhide darauf hingewiesen wurden, dass die neueste Version von „XZ”-Komprimierungstools und -Bibliotheken bösartigen Code enthalten, der offenbar speziell dafür entwickelt wurde, unbefugten Dritten den Zugriff zu erleichtern. Wie dieser bösartige Code eingeschleust wurde, könnte in Zukunft Gegenstand eingehender Untersuchungen werden, aber es handelt sich um eine komplexe, jahrelange Social-Engineering-Aktion eines Angreifers mit dem Pseudonym „Jia”, der geduldig und beharrlich vorgeht.und jahrelangen Social-Engineering-Übung namens „Brown”. Diese Person verbrachte unzählige Stunden damit, das Vertrauen anderer Betreuer zu gewinnen, leistete mehr als zwei Jahre lang legitime Beiträge zum XZ Utils-Projekt und zur Community und erlangte schließlich den Status eines „vertrauenswürdigen Betreuers”, nachdem mehrere Sockpuppet-Konten das Vertrauen des freiwilligen Projektbesitzers Lasse Collin untergraben hatten:
Diese ungewöhnliche Situation ist ein typisches Beispiel dafür, dass selbst technisch versierte Personen Opfer von Strategien werden können, die normalerweise nur gegen weniger versierte Personen eingesetzt werden. Dies zeigt, dass präzise, rollenbasierte Sicherheitsschulungen erforderlich sind. Nur dank der Neugier und der schnellen Auffassungsgabe eines Microsoft-Softwareentwicklers und eines PostgreSQL-Betreuers Andres Freund,die Hintertür entdeckt und die Version zurückgesetzt wurde, wodurch der möglicherweise zerstörerischste Supply-Chain-Angriff der jüngeren Geschichte verhindert werden konnte.
Das Backdoor-Programm selbst wurde offiziell als Schwachstelle mit höchstem Schweregrad im NIST-Registererfasst. Ursprünglich wurde angenommen, dass es die Umgehung der SSH-Authentifizierung ermöglicht, aber weitere Untersuchungen ergaben, dass es die nicht authentifizierte Remote-Codeausführung auf anfälligen Linux-Systemen ermöglicht, darunter Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed und bestimmte Versionen von Debian.
Jia Tan scheint keine Mühen gescheut zu haben, um das Malware-Paket zu verschleiern, das während des Build-Prozesses ausgelöst wird und die Authentifizierung über systemd in SSHD verhindert. Wie Red Hat ausführlich beschreibt, könnte diese Störung unter bestimmten Umständen Angreifern ermöglichen, die SSHD-Authentifizierung zu umgehen und unbefugten Fernzugriff auf das gesamte System zu erlangen.
除其他外,微软有 发布了全面的指南 在扫描系统上查看漏洞利用实例并减轻其影响,以及建议立即采取的措施 CISA 是受影响的开发者和用户应该将XZ Utils降级到不打折扣的版本,例如XZ Utils 5.4.6稳定版。
Es ist sehr schwierig, solche Angriffe zu verhindern, insbesondere wenn Open-Source-Komponenten in der Software verwendet werden, da die Sicherheit der Lieferkette kaum gewährleistet und transparent ist. Wir haben bereits unerwartete Schwachstellen in der Software-Lieferkette behoben, aber dieses Risiko hat sich nun auf absichtlich eingebaute Sicherheitslücken ausgeweitet, die die Sicherheit von Open Source gefährden.
Ohne ein starkes Sicherheitsbewusstsein, fundierte Sicherheitskenntnisse und ein wenig Paranoia werden die meisten Entwickler Angriffe dieser Art nicht verhindern können. Dies ist fast schon ein Beispiel für die Denkweise eines Angreifers.Der Schwerpunkt sollte jedoch immer auf dem Quellcode-Repository liegen, also auf internen Kontrollen (d. h. nicht Open Source). Nur Personen mit nachgewiesenen relevanten Sicherheitskenntnissen sollten Zugriff darauf haben. AppSec-Experten könnten beispielsweise Sicherheitskontrollen auf Zweigebene in Betracht ziehen, die nur Entwicklern mit Sicherheitskenntnissen Änderungen am endgültigen Hauptzweig erlauben.
Freiwillige sind Helden, aber es braucht (eigentlich) ein ganzes Dorf, um Sicherheitssoftware aufrechtzuerhalten.
Für Menschen außerhalb des Bereichs der Softwareentwicklung ist die Vorstellung einer dynamischen Freiwilligengemeinschaft, die in ihrer Zeit fleißig wichtige Systeme wartet, ein schwer verständliches Konzept, aber dies ist das Wesen der Open-Source-Entwicklung, und für Fachleute, die die Sicherheit der Lieferkette schützen, ist dies nach wie vor ein Bereich mit erheblichen Risiken.
Open-Source-Software ist ein wichtiger Bestandteil fast jedes digitalen Ökosystems in Unternehmen, und vertrauenswürdige Betreuer (von denen die meisten in guter Absicht handeln) sind in ihrem selbstlosen Streben nach technologischem Fortschritt und Integrität wahrhaftig Helden.aber es ist absurd, sie isoliert arbeiten zu lassen. In diesem Zeitalter, in dem DevSeCops im Mittelpunkt stehen, ist Sicherheit eine gemeinsame Verantwortung, und jeder Entwickler muss über das Wissen und die geeigneten Werkzeuge verfügen, um mit den Sicherheitsproblemen umzugehen, denen er im Arbeitsalltag begegnen kann. Sicherheitsbewusstsein und praktische Fähigkeiten sollten im Softwareentwicklungsprozess nicht verhandelbar sein, und Sicherheitsverantwortliche haben die Pflicht, Veränderungen auf Unternehmensebene zu beeinflussen.
Durch einen tiefgreifenden Ansatz eine florierende Sicherheitskultur in modernen Organisationen etablieren Kurs Von den Security Code Warriors.
In der Datenkomprimierungsbibliothek XZ Utils, die in den wichtigsten Linux-Distributionen verwendet wird, wurde eine schwerwiegende Sicherheitslücke namens CVE-2024-3094 entdeckt, die von Angreifern über ein Backdoor-Programm eingeführt wurde.Dieses Problem mit hoher Schweregrad ermöglicht die potenzielle Ausführung von Remote-Code und stellt ein erhebliches Risiko für den Software-Build-Prozess dar. Die Schwachstelle betrifft frühe Versionen von XZ Utils (5.6.0 und 5.6.1) in Fedora Rawhide und erfordert dringend die Installation eines Patches durch alle Organisationen. Dieser Vorfall unterstreicht die wichtige Rolle von Freiwilligen in der Community bei der Wartung von Open-Source-Software und verdeutlicht die Notwendigkeit, Sicherheitsmaßnahmen und Zugriffskontrollen während des gesamten Softwareentwicklungszyklus zu verstärken.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Nach der Entdeckung einer heimtückischen Sicherheitslücke in der Software-Lieferkette befindet sich die Cybersicherheitsbranche erneut in höchster Alarmbereitschaft. Die Sicherheitslücke betrifft die mit den wichtigsten Linux-Distributionen gelieferte Datenkomprimierungsbibliothek XZ Utilsdie unter CVE-2024-3094 registriert ist und auf eine absichtlich von einem einst vertrauenswürdigen freiwilligen Systemadministrator eingefügte Hintertür zurückzuführen ist. Bei erfolgreicher Ausnutzung ermöglicht sie unter bestimmten Umständen die Remote-Ausführung von Code (RCE) und stellt somit eine schwerwiegende Bedrohung dar, die den etablierten Software-Build-Prozess erheblich beeinträchtigen kann.
Glücklicherweise entdeckte ein anderer Administrator diese Bedrohung, bevor der bösartige Code in die stabile Linux-Version gelangte.Für diejenigen, die XZ Utils 5.6.0 und 5.6.1 als Teil von Fedora Rawhide ausführen, stellt dies jedoch weiterhin ein Problem dar, und Organisationen werden dringend aufgefordert, das Problem als dringliche Priorität zu beheben. Wäre diese Entdeckung nicht rechtzeitig gemacht worden, hätte das Risiko dazu geführt, dass dies einer der zerstörerischsten Supply-Chain-Angriffe seit Beginn der Aufzeichnungen geworden wäre, der sogar SolarWinds in den Schatten gestellt hätte.
Die Abhängigkeit von freiwilligen Community-Mitgliedern für die Wartung kritischer Systeme ist zwar weithin bekannt, wird jedoch selten diskutiert, bis Probleme mit großer Tragweite wie dieser Vorfall auftreten. Obwohl ihre unermüdliche Arbeit für die Wartung von Open-Source-Software von entscheidender Bedeutung ist, unterstreicht dies die Notwendigkeit, auf Entwicklerebene ernsthaft Wert auf Sicherheitskompetenzen und -bewusstsein zu legen, ganz zu schweigen von der Stärkung der Zugriffskontrolle für Software-Repositorys.
Was ist das XZ Utils-Backdoor-Programm und wie kann man es entschärfen?
Am 29. März veröffentlichte Red Hat eine dringende Sicherheitswarnung, in der Benutzer von Fedora Linux 40 und Fedora Rawhide darauf hingewiesen wurden, dass die neueste Version von „XZ”-Komprimierungstools und -Bibliotheken bösartigen Code enthalten, der offenbar speziell dafür entwickelt wurde, unbefugten Dritten den Zugriff zu erleichtern. Wie dieser bösartige Code eingeschleust wurde, könnte in Zukunft Gegenstand eingehender Untersuchungen werden, aber es handelt sich um eine komplexe, jahrelange Social-Engineering-Aktion eines Angreifers mit dem Pseudonym „Jia”, der geduldig und beharrlich vorgeht.und jahrelangen Social-Engineering-Übung namens „Brown”. Diese Person verbrachte unzählige Stunden damit, das Vertrauen anderer Betreuer zu gewinnen, leistete mehr als zwei Jahre lang legitime Beiträge zum XZ Utils-Projekt und zur Community und erlangte schließlich den Status eines „vertrauenswürdigen Betreuers”, nachdem mehrere Sockpuppet-Konten das Vertrauen des freiwilligen Projektbesitzers Lasse Collin untergraben hatten:
Diese ungewöhnliche Situation ist ein typisches Beispiel dafür, dass selbst technisch versierte Personen Opfer von Strategien werden können, die normalerweise nur gegen weniger versierte Personen eingesetzt werden. Dies zeigt, dass präzise, rollenbasierte Sicherheitsschulungen erforderlich sind. Nur dank der Neugier und der schnellen Auffassungsgabe eines Microsoft-Softwareentwicklers und eines PostgreSQL-Betreuers Andres Freund,die Hintertür entdeckt und die Version zurückgesetzt wurde, wodurch der möglicherweise zerstörerischste Supply-Chain-Angriff der jüngeren Geschichte verhindert werden konnte.
Das Backdoor-Programm selbst wurde offiziell als Schwachstelle mit höchstem Schweregrad im NIST-Registererfasst. Ursprünglich wurde angenommen, dass es die Umgehung der SSH-Authentifizierung ermöglicht, aber weitere Untersuchungen ergaben, dass es die nicht authentifizierte Remote-Codeausführung auf anfälligen Linux-Systemen ermöglicht, darunter Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed und bestimmte Versionen von Debian.
Jia Tan scheint keine Mühen gescheut zu haben, um das Malware-Paket zu verschleiern, das während des Build-Prozesses ausgelöst wird und die Authentifizierung über systemd in SSHD verhindert. Wie Red Hat ausführlich beschreibt, könnte diese Störung unter bestimmten Umständen Angreifern ermöglichen, die SSHD-Authentifizierung zu umgehen und unbefugten Fernzugriff auf das gesamte System zu erlangen.
除其他外,微软有 发布了全面的指南 在扫描系统上查看漏洞利用实例并减轻其影响,以及建议立即采取的措施 CISA 是受影响的开发者和用户应该将XZ Utils降级到不打折扣的版本,例如XZ Utils 5.4.6稳定版。
Es ist sehr schwierig, solche Angriffe zu verhindern, insbesondere wenn Open-Source-Komponenten in der Software verwendet werden, da die Sicherheit der Lieferkette kaum gewährleistet und transparent ist. Wir haben bereits unerwartete Schwachstellen in der Software-Lieferkette behoben, aber dieses Risiko hat sich nun auf absichtlich eingebaute Sicherheitslücken ausgeweitet, die die Sicherheit von Open Source gefährden.
Ohne ein starkes Sicherheitsbewusstsein, fundierte Sicherheitskenntnisse und ein wenig Paranoia werden die meisten Entwickler Angriffe dieser Art nicht verhindern können. Dies ist fast schon ein Beispiel für die Denkweise eines Angreifers.Der Schwerpunkt sollte jedoch immer auf dem Quellcode-Repository liegen, also auf internen Kontrollen (d. h. nicht Open Source). Nur Personen mit nachgewiesenen relevanten Sicherheitskenntnissen sollten Zugriff darauf haben. AppSec-Experten könnten beispielsweise Sicherheitskontrollen auf Zweigebene in Betracht ziehen, die nur Entwicklern mit Sicherheitskenntnissen Änderungen am endgültigen Hauptzweig erlauben.
Freiwillige sind Helden, aber es braucht (eigentlich) ein ganzes Dorf, um Sicherheitssoftware aufrechtzuerhalten.
Für Menschen außerhalb des Bereichs der Softwareentwicklung ist die Vorstellung einer dynamischen Freiwilligengemeinschaft, die in ihrer Zeit fleißig wichtige Systeme wartet, ein schwer verständliches Konzept, aber dies ist das Wesen der Open-Source-Entwicklung, und für Fachleute, die die Sicherheit der Lieferkette schützen, ist dies nach wie vor ein Bereich mit erheblichen Risiken.
Open-Source-Software ist ein wichtiger Bestandteil fast jedes digitalen Ökosystems in Unternehmen, und vertrauenswürdige Betreuer (von denen die meisten in guter Absicht handeln) sind in ihrem selbstlosen Streben nach technologischem Fortschritt und Integrität wahrhaftig Helden.aber es ist absurd, sie isoliert arbeiten zu lassen. In diesem Zeitalter, in dem DevSeCops im Mittelpunkt stehen, ist Sicherheit eine gemeinsame Verantwortung, und jeder Entwickler muss über das Wissen und die geeigneten Werkzeuge verfügen, um mit den Sicherheitsproblemen umzugehen, denen er im Arbeitsalltag begegnen kann. Sicherheitsbewusstsein und praktische Fähigkeiten sollten im Softwareentwicklungsprozess nicht verhandelbar sein, und Sicherheitsverantwortliche haben die Pflicht, Veränderungen auf Unternehmensebene zu beeinflussen.
Durch einen tiefgreifenden Ansatz eine florierende Sicherheitskultur in modernen Organisationen etablieren Kurs Von den Security Code Warriors.
Nach der Entdeckung einer heimtückischen Sicherheitslücke in der Software-Lieferkette befindet sich die Cybersicherheitsbranche erneut in höchster Alarmbereitschaft. Die Sicherheitslücke betrifft die mit den wichtigsten Linux-Distributionen gelieferte Datenkomprimierungsbibliothek XZ Utilsdie unter CVE-2024-3094 registriert ist und auf eine absichtlich von einem einst vertrauenswürdigen freiwilligen Systemadministrator eingefügte Hintertür zurückzuführen ist. Bei erfolgreicher Ausnutzung ermöglicht sie unter bestimmten Umständen die Remote-Ausführung von Code (RCE) und stellt somit eine schwerwiegende Bedrohung dar, die den etablierten Software-Build-Prozess erheblich beeinträchtigen kann.
Glücklicherweise entdeckte ein anderer Administrator diese Bedrohung, bevor der bösartige Code in die stabile Linux-Version gelangte.Für diejenigen, die XZ Utils 5.6.0 und 5.6.1 als Teil von Fedora Rawhide ausführen, stellt dies jedoch weiterhin ein Problem dar, und Organisationen werden dringend aufgefordert, das Problem als dringliche Priorität zu beheben. Wäre diese Entdeckung nicht rechtzeitig gemacht worden, hätte das Risiko dazu geführt, dass dies einer der zerstörerischsten Supply-Chain-Angriffe seit Beginn der Aufzeichnungen geworden wäre, der sogar SolarWinds in den Schatten gestellt hätte.
Die Abhängigkeit von freiwilligen Community-Mitgliedern für die Wartung kritischer Systeme ist zwar weithin bekannt, wird jedoch selten diskutiert, bis Probleme mit großer Tragweite wie dieser Vorfall auftreten. Obwohl ihre unermüdliche Arbeit für die Wartung von Open-Source-Software von entscheidender Bedeutung ist, unterstreicht dies die Notwendigkeit, auf Entwicklerebene ernsthaft Wert auf Sicherheitskompetenzen und -bewusstsein zu legen, ganz zu schweigen von der Stärkung der Zugriffskontrolle für Software-Repositorys.
Was ist das XZ Utils-Backdoor-Programm und wie kann man es entschärfen?
Am 29. März veröffentlichte Red Hat eine dringende Sicherheitswarnung, in der Benutzer von Fedora Linux 40 und Fedora Rawhide darauf hingewiesen wurden, dass die neueste Version von „XZ”-Komprimierungstools und -Bibliotheken bösartigen Code enthalten, der offenbar speziell dafür entwickelt wurde, unbefugten Dritten den Zugriff zu erleichtern. Wie dieser bösartige Code eingeschleust wurde, könnte in Zukunft Gegenstand eingehender Untersuchungen werden, aber es handelt sich um eine komplexe, jahrelange Social-Engineering-Aktion eines Angreifers mit dem Pseudonym „Jia”, der geduldig und beharrlich vorgeht.und jahrelangen Social-Engineering-Übung namens „Brown”. Diese Person verbrachte unzählige Stunden damit, das Vertrauen anderer Betreuer zu gewinnen, leistete mehr als zwei Jahre lang legitime Beiträge zum XZ Utils-Projekt und zur Community und erlangte schließlich den Status eines „vertrauenswürdigen Betreuers”, nachdem mehrere Sockpuppet-Konten das Vertrauen des freiwilligen Projektbesitzers Lasse Collin untergraben hatten:
Diese ungewöhnliche Situation ist ein typisches Beispiel dafür, dass selbst technisch versierte Personen Opfer von Strategien werden können, die normalerweise nur gegen weniger versierte Personen eingesetzt werden. Dies zeigt, dass präzise, rollenbasierte Sicherheitsschulungen erforderlich sind. Nur dank der Neugier und der schnellen Auffassungsgabe eines Microsoft-Softwareentwicklers und eines PostgreSQL-Betreuers Andres Freund,die Hintertür entdeckt und die Version zurückgesetzt wurde, wodurch der möglicherweise zerstörerischste Supply-Chain-Angriff der jüngeren Geschichte verhindert werden konnte.
Das Backdoor-Programm selbst wurde offiziell als Schwachstelle mit höchstem Schweregrad im NIST-Registererfasst. Ursprünglich wurde angenommen, dass es die Umgehung der SSH-Authentifizierung ermöglicht, aber weitere Untersuchungen ergaben, dass es die nicht authentifizierte Remote-Codeausführung auf anfälligen Linux-Systemen ermöglicht, darunter Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed und bestimmte Versionen von Debian.
Jia Tan scheint keine Mühen gescheut zu haben, um das Malware-Paket zu verschleiern, das während des Build-Prozesses ausgelöst wird und die Authentifizierung über systemd in SSHD verhindert. Wie Red Hat ausführlich beschreibt, könnte diese Störung unter bestimmten Umständen Angreifern ermöglichen, die SSHD-Authentifizierung zu umgehen und unbefugten Fernzugriff auf das gesamte System zu erlangen.
除其他外,微软有 发布了全面的指南 在扫描系统上查看漏洞利用实例并减轻其影响,以及建议立即采取的措施 CISA 是受影响的开发者和用户应该将XZ Utils降级到不打折扣的版本,例如XZ Utils 5.4.6稳定版。
Es ist sehr schwierig, solche Angriffe zu verhindern, insbesondere wenn Open-Source-Komponenten in der Software verwendet werden, da die Sicherheit der Lieferkette kaum gewährleistet und transparent ist. Wir haben bereits unerwartete Schwachstellen in der Software-Lieferkette behoben, aber dieses Risiko hat sich nun auf absichtlich eingebaute Sicherheitslücken ausgeweitet, die die Sicherheit von Open Source gefährden.
Ohne ein starkes Sicherheitsbewusstsein, fundierte Sicherheitskenntnisse und ein wenig Paranoia werden die meisten Entwickler Angriffe dieser Art nicht verhindern können. Dies ist fast schon ein Beispiel für die Denkweise eines Angreifers.Der Schwerpunkt sollte jedoch immer auf dem Quellcode-Repository liegen, also auf internen Kontrollen (d. h. nicht Open Source). Nur Personen mit nachgewiesenen relevanten Sicherheitskenntnissen sollten Zugriff darauf haben. AppSec-Experten könnten beispielsweise Sicherheitskontrollen auf Zweigebene in Betracht ziehen, die nur Entwicklern mit Sicherheitskenntnissen Änderungen am endgültigen Hauptzweig erlauben.
Freiwillige sind Helden, aber es braucht (eigentlich) ein ganzes Dorf, um Sicherheitssoftware aufrechtzuerhalten.
Für Menschen außerhalb des Bereichs der Softwareentwicklung ist die Vorstellung einer dynamischen Freiwilligengemeinschaft, die in ihrer Zeit fleißig wichtige Systeme wartet, ein schwer verständliches Konzept, aber dies ist das Wesen der Open-Source-Entwicklung, und für Fachleute, die die Sicherheit der Lieferkette schützen, ist dies nach wie vor ein Bereich mit erheblichen Risiken.
Open-Source-Software ist ein wichtiger Bestandteil fast jedes digitalen Ökosystems in Unternehmen, und vertrauenswürdige Betreuer (von denen die meisten in guter Absicht handeln) sind in ihrem selbstlosen Streben nach technologischem Fortschritt und Integrität wahrhaftig Helden.aber es ist absurd, sie isoliert arbeiten zu lassen. In diesem Zeitalter, in dem DevSeCops im Mittelpunkt stehen, ist Sicherheit eine gemeinsame Verantwortung, und jeder Entwickler muss über das Wissen und die geeigneten Werkzeuge verfügen, um mit den Sicherheitsproblemen umzugehen, denen er im Arbeitsalltag begegnen kann. Sicherheitsbewusstsein und praktische Fähigkeiten sollten im Softwareentwicklungsprozess nicht verhandelbar sein, und Sicherheitsverantwortliche haben die Pflicht, Veränderungen auf Unternehmensebene zu beeinflussen.
Durch einen tiefgreifenden Ansatz eine florierende Sicherheitskultur in modernen Organisationen etablieren Kurs Von den Security Code Warriors.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Nach der Entdeckung einer heimtückischen Sicherheitslücke in der Software-Lieferkette befindet sich die Cybersicherheitsbranche erneut in höchster Alarmbereitschaft. Die Sicherheitslücke betrifft die mit den wichtigsten Linux-Distributionen gelieferte Datenkomprimierungsbibliothek XZ Utilsdie unter CVE-2024-3094 registriert ist und auf eine absichtlich von einem einst vertrauenswürdigen freiwilligen Systemadministrator eingefügte Hintertür zurückzuführen ist. Bei erfolgreicher Ausnutzung ermöglicht sie unter bestimmten Umständen die Remote-Ausführung von Code (RCE) und stellt somit eine schwerwiegende Bedrohung dar, die den etablierten Software-Build-Prozess erheblich beeinträchtigen kann.
Glücklicherweise entdeckte ein anderer Administrator diese Bedrohung, bevor der bösartige Code in die stabile Linux-Version gelangte.Für diejenigen, die XZ Utils 5.6.0 und 5.6.1 als Teil von Fedora Rawhide ausführen, stellt dies jedoch weiterhin ein Problem dar, und Organisationen werden dringend aufgefordert, das Problem als dringliche Priorität zu beheben. Wäre diese Entdeckung nicht rechtzeitig gemacht worden, hätte das Risiko dazu geführt, dass dies einer der zerstörerischsten Supply-Chain-Angriffe seit Beginn der Aufzeichnungen geworden wäre, der sogar SolarWinds in den Schatten gestellt hätte.
Die Abhängigkeit von freiwilligen Community-Mitgliedern für die Wartung kritischer Systeme ist zwar weithin bekannt, wird jedoch selten diskutiert, bis Probleme mit großer Tragweite wie dieser Vorfall auftreten. Obwohl ihre unermüdliche Arbeit für die Wartung von Open-Source-Software von entscheidender Bedeutung ist, unterstreicht dies die Notwendigkeit, auf Entwicklerebene ernsthaft Wert auf Sicherheitskompetenzen und -bewusstsein zu legen, ganz zu schweigen von der Stärkung der Zugriffskontrolle für Software-Repositorys.
Was ist das XZ Utils-Backdoor-Programm und wie kann man es entschärfen?
Am 29. März veröffentlichte Red Hat eine dringende Sicherheitswarnung, in der Benutzer von Fedora Linux 40 und Fedora Rawhide darauf hingewiesen wurden, dass die neueste Version von „XZ”-Komprimierungstools und -Bibliotheken bösartigen Code enthalten, der offenbar speziell dafür entwickelt wurde, unbefugten Dritten den Zugriff zu erleichtern. Wie dieser bösartige Code eingeschleust wurde, könnte in Zukunft Gegenstand eingehender Untersuchungen werden, aber es handelt sich um eine komplexe, jahrelange Social-Engineering-Aktion eines Angreifers mit dem Pseudonym „Jia”, der geduldig und beharrlich vorgeht.und jahrelangen Social-Engineering-Übung namens „Brown”. Diese Person verbrachte unzählige Stunden damit, das Vertrauen anderer Betreuer zu gewinnen, leistete mehr als zwei Jahre lang legitime Beiträge zum XZ Utils-Projekt und zur Community und erlangte schließlich den Status eines „vertrauenswürdigen Betreuers”, nachdem mehrere Sockpuppet-Konten das Vertrauen des freiwilligen Projektbesitzers Lasse Collin untergraben hatten:
Diese ungewöhnliche Situation ist ein typisches Beispiel dafür, dass selbst technisch versierte Personen Opfer von Strategien werden können, die normalerweise nur gegen weniger versierte Personen eingesetzt werden. Dies zeigt, dass präzise, rollenbasierte Sicherheitsschulungen erforderlich sind. Nur dank der Neugier und der schnellen Auffassungsgabe eines Microsoft-Softwareentwicklers und eines PostgreSQL-Betreuers Andres Freund,die Hintertür entdeckt und die Version zurückgesetzt wurde, wodurch der möglicherweise zerstörerischste Supply-Chain-Angriff der jüngeren Geschichte verhindert werden konnte.
Das Backdoor-Programm selbst wurde offiziell als Schwachstelle mit höchstem Schweregrad im NIST-Registererfasst. Ursprünglich wurde angenommen, dass es die Umgehung der SSH-Authentifizierung ermöglicht, aber weitere Untersuchungen ergaben, dass es die nicht authentifizierte Remote-Codeausführung auf anfälligen Linux-Systemen ermöglicht, darunter Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed und bestimmte Versionen von Debian.
Jia Tan scheint keine Mühen gescheut zu haben, um das Malware-Paket zu verschleiern, das während des Build-Prozesses ausgelöst wird und die Authentifizierung über systemd in SSHD verhindert. Wie Red Hat ausführlich beschreibt, könnte diese Störung unter bestimmten Umständen Angreifern ermöglichen, die SSHD-Authentifizierung zu umgehen und unbefugten Fernzugriff auf das gesamte System zu erlangen.
除其他外,微软有 发布了全面的指南 在扫描系统上查看漏洞利用实例并减轻其影响,以及建议立即采取的措施 CISA 是受影响的开发者和用户应该将XZ Utils降级到不打折扣的版本,例如XZ Utils 5.4.6稳定版。
Es ist sehr schwierig, solche Angriffe zu verhindern, insbesondere wenn Open-Source-Komponenten in der Software verwendet werden, da die Sicherheit der Lieferkette kaum gewährleistet und transparent ist. Wir haben bereits unerwartete Schwachstellen in der Software-Lieferkette behoben, aber dieses Risiko hat sich nun auf absichtlich eingebaute Sicherheitslücken ausgeweitet, die die Sicherheit von Open Source gefährden.
Ohne ein starkes Sicherheitsbewusstsein, fundierte Sicherheitskenntnisse und ein wenig Paranoia werden die meisten Entwickler Angriffe dieser Art nicht verhindern können. Dies ist fast schon ein Beispiel für die Denkweise eines Angreifers.Der Schwerpunkt sollte jedoch immer auf dem Quellcode-Repository liegen, also auf internen Kontrollen (d. h. nicht Open Source). Nur Personen mit nachgewiesenen relevanten Sicherheitskenntnissen sollten Zugriff darauf haben. AppSec-Experten könnten beispielsweise Sicherheitskontrollen auf Zweigebene in Betracht ziehen, die nur Entwicklern mit Sicherheitskenntnissen Änderungen am endgültigen Hauptzweig erlauben.
Freiwillige sind Helden, aber es braucht (eigentlich) ein ganzes Dorf, um Sicherheitssoftware aufrechtzuerhalten.
Für Menschen außerhalb des Bereichs der Softwareentwicklung ist die Vorstellung einer dynamischen Freiwilligengemeinschaft, die in ihrer Zeit fleißig wichtige Systeme wartet, ein schwer verständliches Konzept, aber dies ist das Wesen der Open-Source-Entwicklung, und für Fachleute, die die Sicherheit der Lieferkette schützen, ist dies nach wie vor ein Bereich mit erheblichen Risiken.
Open-Source-Software ist ein wichtiger Bestandteil fast jedes digitalen Ökosystems in Unternehmen, und vertrauenswürdige Betreuer (von denen die meisten in guter Absicht handeln) sind in ihrem selbstlosen Streben nach technologischem Fortschritt und Integrität wahrhaftig Helden.aber es ist absurd, sie isoliert arbeiten zu lassen. In diesem Zeitalter, in dem DevSeCops im Mittelpunkt stehen, ist Sicherheit eine gemeinsame Verantwortung, und jeder Entwickler muss über das Wissen und die geeigneten Werkzeuge verfügen, um mit den Sicherheitsproblemen umzugehen, denen er im Arbeitsalltag begegnen kann. Sicherheitsbewusstsein und praktische Fähigkeiten sollten im Softwareentwicklungsprozess nicht verhandelbar sein, und Sicherheitsverantwortliche haben die Pflicht, Veränderungen auf Unternehmensebene zu beeinflussen.
Durch einen tiefgreifenden Ansatz eine florierende Sicherheitskultur in modernen Organisationen etablieren Kurs Von den Security Code Warriors.
Verzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
