サプライ チェーンの侵害から保護することは、運次第ではありませんが、場合によっては運に左右されることもあります。 これは、Linux および Unix 系オペレーティングシステムで広く使用されているオープンソースのデータ圧縮ユーティリティである XZ Utilsに関わる最近のサプライ チェーンの侵害で特に顕著でした。 3 月 29 日、XZ Utilsリポジトリで悪意のあるコミットが発見され、ソフトウェアを実行しているシステムを侵害するバックドアが導入されました。 このバックドアにより、特定の暗号化キーを持つ権限のないユーザーが SSHログイン証明書を介して任意のコードを挿入することが可能になりました。 このバックドアの背後にある動機はま現在調査中です。
Vectra AIは、XZ Utilsバックドアのようなエクスプロイトから顧客をどのように保護しているのか?
Vectra AI Platformは、この種のバックドアを悪用する攻撃者を特定できます。XZ Utilsで見つかったようなバックドアが悪用されたインシデントでは、Vectra AI の検知機能は、攻撃が目的を達成するかなり前に、リモート アクセスから発見、横方向への移動に至る攻撃者の進行の核となるシーケンスを特定します。XZ Utils の悪用に特に関連する検知には、Suspicious Remote Access によってトリガーされるリバースSSHトンネルや、Suspicious Adminによって検知された SSH プロトコル上の横方向の移動が含まれます。
XZ Utilsの脆弱性にさらされているかどうかを調べるには?
XZ Utils エクスプロイトに対応して、xzbotという名前のプロジェクトがコミュニティによって導入されました。そしてこの脆弱性への曝露を評価するための次のようなツールを提供します。
- ハニーポット:脆弱なサーバーを偽装して悪用の試みを検知する
- ed448 patch: liblzma.soに独自のED448公開鍵を使うようにパッチを当てる
- バックドアフォーマット: バックドアのペイロードのフォーマット
- バックドアデモ:ED448秘密鍵を知っていると仮定してRCEをトリガーするcli
今後、サプライチェーンの侵害を防ぐにはどうすれば良いか
このようなインシデントによって組織がオープンソースソフトウェアの使用をやめるべきではないことが重要です。 これは、サプライ チェーンのリスクはオープンソースプロジェクトに限ったものではありません。 SolarWinds の侵害で見られるように、商用ソフトウェアにも影響を与える可能性があります。これらのリスクを軽減する鍵は、攻撃者が使用するエクスプロイトに関係なく脅威を特定できる Vectra AIなどの検知およびレスポンステクノロジーを導入することにあります。Vectra AI により、サプライ チェーンの侵害を防ぐ唯一の方法が「運」に左右される必要がなくなります。 ネットワーク、アイデンティティ、クラウドにまたがる動作に焦点を当てることで、攻撃者が XZ Utils やその他の潜在的なエクスプロイトを悪用しようとした場合に、その攻撃者を確実に見つける手段としての検知が可能になります。
Vectra AIは、脅威の状況が進化し続ける中、Scattered Spider、Midnight Blizzard(APT29) などの脅威アクターについて、ディフェンス側に役立つ最新のリソースを提供し続けたいと思います。