サプライチェーンの侵害から身を守ることは、運だけに左右されるべきではないが、時にはそうなってしまうこともある。これは、LinuxやUnixライクなオペレーティング・システムで広く使われているオープンソースのデータ圧縮ユーティリティ、XZ Utilsに関連した最近のサプライチェーン侵害において特に顕著であった。3月29日、XZ Utilsのリポジトリに悪意のあるコミットが発見され、ソフトウェアを実行しているシステムを危険にさらすバックドアが導入された。このバックドアにより、特定の暗号化キーを持つ不正ユーザーが、SSHログイン証明書を介して任意のコードを注入できるようになった。このバックドアの背後にある動機はまだ調査中である。
Vectra AIは、XZ Utilsバックドアのようなエクスプロイトから顧客をどのように保護しているのか?
Vectra AI Platformは、この種のバックドアを悪用する攻撃者を特定できます。XZ Utilsで見つかったようなバックドアが悪用されたインシデントでは、Vectra AI の検知機能は、攻撃が目的を達成するかなり前に、リモート アクセスから発見、ラテラルムーブに至る攻撃者の進行の核となるシーケンスを特定します。XZ Utils の悪用に特に関連する検知には、Suspicious Remote Access によってトリガーされるリバースSSHトンネルや、Suspicious Adminによって検知された SSH プロトコル上のラテラルムーブが含まれます。
XZ Utilsの脆弱性にさらされているかどうかを調べるには?
XZ Utils エクスプロイトに対応して、xzbotという名前のプロジェクトがコミュニティによって導入されました。そしてこの脆弱性への曝露を評価するための次のようなツールを提供します。
- ハニーポット:脆弱なサーバーを偽装して悪用の試みを検知する
- ed448 patch: liblzma.soに独自のED448公開鍵を使うようにパッチを当てる
- バックドアフォーマット: バックドアのペイロードのフォーマット
- バックドアデモ:ED448秘密鍵を知っていると仮定してRCEをトリガーするcli
今後、サプライチェーンの侵害を防ぐにはどうすれば良いか
このようなインシデントによって組織がオープンソースソフトウェアの使用をやめるべきではないことが重要です。 これは、サプライ チェーンのリスクはオープンソースプロジェクトに限ったものではありません。 SolarWinds の侵害で見られるように、商用ソフトウェアにも影響を与える可能性があります。これらのリスクを軽減する鍵は、攻撃者が使用するエクスプロイトに関係なく脅威を特定できる Vectra AIなどの検知およびレスポンステクノロジーを導入することにあります。Vectra AI により、サプライ チェーンの侵害を防ぐ唯一の方法が「運」に左右される必要がなくなります。 ネットワーク、アイデンティティ、クラウドにまたがる動作に焦点を当てることで、攻撃者が XZ Utils やその他の潜在的なエクスプロイトを悪用しようとした場合に、その攻撃者を確実に見つける手段としての検知が可能になります。
Vectra AIは、脅威の状況が進化し続ける中、Scattered Spider、Midnight Blizzard(APT29) などの脅威アクターについて、ディフェンス側に役立つ最新のリソースを提供し続けたいと思います。