Эксперты ГК «Солар» протестировали популярную утилиту XZ Utils для Linux с помощью комплексного решения для контроля безопасности приложений Solar appScreener и убедились в наличии бэкдора CVE-2024-3094. Разработчики Solar appScreener регулярно анализируют данные из open source-библиотек и прогнозируют риски, связанные с авторством сторонних компонентов.

Так, результат проверки разработчика-создателя CVE-2024-3094 системой Solar appScreener показал, что, несмотря на высокие оценки в показателях «Популярность» и «Активность сообщества», оценка по критерию «Авторский состав» низкая. Solar appScreener считает автора недоверенным, а значит, не стоит использовать его пакеты в своем ПО.

В конце марта стало известно об умышленной атаке на утилиту Linux. Бэкдор CVE-2024-3094 был внедрен в утилиту для сжатия данных XZ Utils. Такая уязвимость позволяет получить несанкционированный удаленный доступ ко всей системе. Пакет XZ Utils включен в большинство дистрибутивов и репозиториев Linux, поэтому под угрозой оказались тысячи компаний по всему миру, которые используют их в своих приложениях.

Бэкдор в XZ внедрил один из его разработчиков. Это была целенаправленная атака на цепочку поставки ПО, которую злоумышленник планировал два года.

«В последние годы мы регулярно видим атаки на цепочку поставок среди техник прогосударственных группировок. Тенденция проявилась в нашумевших инцидентах с CCleaner и SolarWinds в 2018 и 2020 году соответственно. Атаки через компоненты свободно распространяемого ПО — относительно новый виток этого тренда и недавний инцидент с бэкдором в XZ (хоть пока и нет четких свидетельств, что атакующие достигли своих целей) показывает, что организаторы сложных атак готовы инвестировать немалые ресурсы в компрометацию подобного ПО. Это означает, что организациям следует учитывать этот риск и применять средства для анализа и выявления атак на цепочки поставок», — отметил Антон Каргин, эксперт группы анализа ВПО центра исследования Solar 4RAYS ГК «Солар».

По мнению экспертов «Солар» атаки на цепочки поставок — один из самых популярных видов атак на ПО. Через open source-библиотеки любой, включая злоумышленников, может вносить уязвимости в проект с открытым исходным кодом.

«Если в компании open source-компоненты бесконтрольно используются в разработке приложений, то вредоносный код рано или поздно попадет коммерческое ПО. Контрибьютер — неизвестный разработчик — не проверяется никакими корпоративными службами безопасности при внесении изменений в код проекта, а владельцы проектов редко задумываются о безопасности своих репозиториев. Так вредоносный код попадает в контур компании», — пояснил Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК «Солар».

Для решения подобных проблем эксперты ГК «Солар» рекомендуют проверять безопасность цепочки поставки на всех этапах пути, по которому ПО попадает в организацию — от момента создания или покупки до этапа использования.

Снизить риски, связанные с использованием ПО из open source-библиотек может комплексное решение для безопасной разработки Solar appScreener. Это единственное решение на рынке, которое содержит модуль SCS (Supply Chain Security) и позволяет анализировать уровень доверия к используемым внешним компонентам на базе восьми параметров (популярность библиотеки, ее авторский состав, заинтересованность в безопасности и др.).

«Модуль SCS — новая технология на рынке, и зачастую пользователям не до конца очевидно его преимущества. Подобные громкие кейсы позволяют подсветить риски, связанные с использованием open sourсe-компонентов. Применение технологии анализа SCS в составе комплексного продукта Solar appScreener дает возможность на основании рейтинга доверия принимать решение об использовании конкретного компонента в разработке», — отметил Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК «Солар».

Существующий функционал продукта Solar appScreener обеспечивает всесторонний контроль безопасности ПО и включает ключевые виды анализа в одном инструменте: статистический анализ кода (SAST) на уязвимости в исходном коде; динамический анализ (DAST) на уязвимости в запущенном приложении; и анализ состава ПО (SCA) для комплексного контроля безопасной разработки.

Solar appScreener — комплексное решение для контроля безопасности приложений, сочетающее в едином интерфейсе статический, динамический анализ, анализ состава ПО и анализ безопасности цепочки поставок ПО (SAST, DAST, SCA, SCS). Продукт сертифицирована ФСТЭК России, внесен в Единый реестр отечественного ПО и может интегрироваться с другими системами для встраивания в цикл безопасной разработки.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

УЦСБ и ГК «Солар»: 50,5% российских компаний подозревают или фиксируют утечки данных через ИИ-инструменты

УЦСБ и ГК «Солар»: 50,5% российских компаний подозревают или фиксируют утечки данных через ИИ-инструменты

Узнать больше
Большая кража денег и учетных записей: как мошенники обманывают россиян с предзаказом игры GTA VI

Большая кража денег и учетных записей: как мошенники обманывают россиян с предзаказом игры GTA VI

Узнать больше
«Делимобиль» обеспечивает защиту данных и повышает киберграмотность сотрудников на базе решений «Солара»  и собственной разработки

«Делимобиль» обеспечивает защиту данных и повышает киберграмотность сотрудников на базе решений «Солара» и собственной разработки

Узнать больше
АО «НТЦ ИТ РОСА» и «Солар» защищают работу привилегированных пользователей в виртуальной среде

АО «НТЦ ИТ РОСА» и «Солар» защищают работу привилегированных пользователей в виртуальной среде

Узнать больше
Праздник к ним приходит: как Santa Stealer ворует для хакеров аккаунты Roblox, криптовалютные активы и корпоративные секреты

Праздник к ним приходит: как Santa Stealer ворует для хакеров аккаунты Roblox, криптовалютные активы и корпоративные секреты

Узнать больше
«Солар» и ShiftLeft Security объявили об интеграции решений  по безопасной разработке

«Солар» и ShiftLeft Security объявили об интеграции решений по безопасной разработке

Узнать больше
Солар» и «Тантор Лабс» подтвердили совместимость Solar SafeInspect с СУБД Tantor Postgres в рамках программы Ready for Astra

Солар» и «Тантор Лабс» подтвердили совместимость Solar SafeInspect с СУБД Tantor Postgres в рамках программы Ready for Astra

Узнать больше
«Солар» и «РуПост» подтвердили совместимость DLP-системы и почтового сервера

«Солар» и «РуПост» подтвердили совместимость DLP-системы и почтового сервера

Узнать больше
Безопасность на скорости кода: ИИ-триаж и кодфикс в Solar appScreener 3.16 в 10 раз увеличивают емкость команды AppSec

Безопасность на скорости кода: ИИ-триаж и кодфикс в Solar appScreener 3.16 в 10 раз увеличивают емкость команды AppSec

Узнать больше
Как СМБСР Банк перешел на комплексную защиту «Солара»: от управления доступом до обучения сотрудников

Как СМБСР Банк перешел на комплексную защиту «Солара»: от управления доступом до обучения сотрудников

Узнать больше