Le programme malveillant XZ Utils dans Linux met en évidence des problèmes de sécurité plus généraux dans la chaîne d'approvisionnement. Pour y remédier, nous avons besoin de plus que l'esprit communautaire.
Après la découverte d'une faille malveillante dans la chaîne logistique logicielle, le secteur de la cybersécurité est à nouveau en état d'alerte. Cette faille affecte la bibliothèque de compression de données XZ Utils fournie avec les principales distributions Linux.répertoriée sous le numéro CVE-2024-3094, et qui résulte de l'insertion délibérée d'une porte dérobée par un contributeur bénévole autrefois considéré comme fiable. Si elle est exploitée avec succès, elle permet dans certains cas l'exécution de code à distance (RCE), ce qui représente une menace très grave susceptible de nuire considérablement aux processus de construction logicielle établis.
Heureusement, un autre contributeur a découvert cette menace avant que le code malveillant ne soit intégré dans les versions stables de Linux,Cependant, pour ceux qui ont commencé à utiliser les versions 5.6.0 et 5.6.1 de XZ Utils dans le cadre de Fedora Rawhide, cela reste un problème, et les organisations sont invitées à appliquer le correctif de manière urgente. Si cette découverte n'avait pas été faite à temps, le risque aurait été tel que cela aurait pu constituer l'une des attaques de chaîne d'approvisionnement les plus destructrices jamais enregistrées, surpassant même SolarWinds.
Le fait que des bénévoles de la communauté assurent la maintenance de systèmes critiques est largement documenté, mais rarement discuté jusqu'à ce que des problèmes à fort impact, tels que celui-ci, apparaissent. Bien que leur travail acharné soit essentiel au maintien des logiciels open source, cela souligne la nécessité de mettre sérieusement l'accent sur les compétences et la sensibilisation à la sécurité au niveau des développeurs, sans oublier le renforcement du contrôle d'accès aux référentiels logiciels.
Qu'est-ce que le programme malveillant XZ Utils et comment peut-on le contrer ?
Le 29 mars, Red Hat a publié une alerte de sécurité urgente informant les utilisateurs de Fedora Linux 40 et Fedora Rawhide que la dernière version de l'outil et de la bibliothèque de compression « XZ » contenait du code malveillant. Ce code malveillant semble avoir été spécialement conçu pour faciliter l'accès non autorisé par des tiers. La manière dont ce code malveillant a été injecté pourrait faire l'objet d'une étude approfondie à l'avenir. « XZ » et de sa bibliothèque contenait du code malveillant, apparemment conçu pour faciliter l'accès non autorisé de tiers. La manière dont ce code malveillant a été introduit pourrait faire l'objet d'une étude approfondie à l'avenir, mais elle équivaut à une campagne d'ingénierie sociale complexe et patiente, menée pendant plusieurs années par un acteur malveillant utilisant le pseudonyme « Jia ».et persévérant, mené par un acteur malveillant utilisant le pseudonyme « Jia ». Cet individu a consacré de nombreuses heures à gagner la confiance d'autres contributeurs, apportant des contributions légitimes au projet XZ Utils et à la communauté pendant plus de deux ans. Après avoir sapé la confiance du propriétaire du projet bénévole, Lasse Collin, à l'aide de plusieurs comptes fictifs, il a finalement obtenu le statut de « contributeur de confiance » :
Cette situation inhabituelle illustre parfaitement comment une personne hautement qualifiée sur le plan technique peut néanmoins être victime de stratégies généralement réservées à des personnes moins averties, ce qui souligne la nécessité d'une formation précise et axée sur les rôles en matière de sensibilisation à la sécurité. C'est uniquement grâce à la curiosité et à la vivacité d'esprit d'un ingénieur logiciel de Microsoft et d'un responsable de la maintenance de PostgreSQL que Andrés Freund, la porte dérobéea été découverte et la version a été rétrogradée, empêchant ainsi ce qui aurait pu être l'attaque de chaîne d'approvisionnement la plus destructrice de l'histoire récente.
Le programme de porte dérobée lui-même a été officiellement répertorié comme la vulnérabilité la plus grave dans le registre du NIST. Initialement considéré comme permettant de contourner l'authentification SSH, une enquête plus approfondie a révélé qu'il permettait l'exécution de code à distance sans authentification sur les systèmes Linux vulnérables, notamment Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed et certaines versions de Debian.
Jia Tan semble avoir déployé des efforts considérables pour dissimuler le paquet malveillant, qui, lorsqu'il est déclenché pendant le processus de compilation, empêche l'authentification via systemd dans SSHD. Comme l'explique Red Hat en détail, dans certaines circonstances, cette interférence pourrait permettre à un attaquant de contourner l'authentification SSHD et d'obtenir un accès distant non autorisé à l'ensemble du système.
除其他外,微软有 发布了全面的指南 在扫描系统上查看漏洞利用实例并减轻其影响,以及建议立即采取的措施 CISA 是受影响的开发者和用户应该将XZ Utils降级到不打折扣的版本,例如XZ Utils 5.4.6稳定版。
Il est extrêmement difficile de prévenir ce type d'attaque, en particulier lorsque des composants open source sont utilisés dans les logiciels, car la sécurité de la chaîne d'approvisionnement est peu garantie et peu transparente. Nous avons déjà corrigé des vulnérabilités accidentelles dans la chaîne d'approvisionnement logicielle, mais ce risque s'est accru et inclut désormais des vulnérabilités implantées intentionnellement pour compromettre la sécurité open source.
À moins d'avoir une forte conscience de la sécurité, de bonnes connaissances en la matière et une certaine paranoïa, la plupart des développeurs ne seront pas en mesure de bloquer ce type d'attaque. Il s'agit presque d'un exemple qui nécessite un état d'esprit de menaçant.Cependant, la principale considération doit toujours être centrée sur le référentiel de code source, c'est-à-dire le contrôle interne (non open source). Seules les personnes ayant des compétences vérifiées en matière de sécurité peuvent y accéder. Les professionnels de la sécurité des applications peuvent envisager des configurations telles que des contrôles de sécurité au niveau des branches, qui n'autorisent que les développeurs ayant des compétences en matière de sécurité à apporter des modifications à la branche principale finale.
Les bénévoles sont des héros, mais il est nécessaire de disposer d'une communauté pour maintenir la sécurité des logiciels.
Pour ceux qui ne sont pas familiarisés avec le domaine du génie logiciel, l'idée qu'une communauté dynamique de bénévoles puisse maintenir avec diligence des systèmes critiques à leur époque peut sembler difficile à appréhender. Cependant, c'est l'essence même du développement open source, et pour les professionnels chargés de protéger la sécurité de la chaîne d'approvisionnement, cela reste un domaine présentant des risques importants.
Les logiciels open source constituent un élément essentiel de l'écosystème numérique de presque toutes les entreprises. Les mainteneurs dignes de confiance (dont la plupart agissent de bonne foi) sont véritablement des héros dans leur quête désintéressée du progrès technologique et de l'intégrité.Cependant, il serait irréaliste de leur demander d'agir de manière isolée. À l'ère du DevSecOps, la sécurité est une responsabilité partagée, et chaque développeur doit disposer des connaissances et des outils appropriés pour faire face aux problèmes de sécurité qu'il peut rencontrer dans son travail quotidien. La sensibilisation à la sécurité et les compétences pratiques doivent être des éléments incontournables du processus de développement logiciel, et les responsables de la sécurité ont la responsabilité d'influencer le changement au niveau de l'entreprise.
Instaurer une culture de la sécurité florissante dans les organisations modernes grâce à une approche approfondie Cours Proposé par les champions du code de sécurité.
Une vulnérabilité critique, identifiée sous le nom CVE-2024-3094, a été découverte dans la bibliothèque de compression de données XZ Utils utilisée par les principales distributions Linux. Cette vulnérabilité a été introduite par des acteurs malveillants via un programme de porte dérobée.Ce problème hautement critique permet l'exécution potentielle de code à distance, ce qui représente un risque important pour le processus de compilation des logiciels. La vulnérabilité affecte les versions antérieures (5.6.0 et 5.6.1) de XZ Utils dans Fedora Rawhide, et les organisations sont invitées à appliquer le correctif de toute urgence. Cet incident souligne le rôle essentiel des bénévoles de la communauté dans la maintenance des logiciels open source, ainsi que la nécessité de renforcer les mesures de sécurité et le contrôle d'accès tout au long du cycle de vie du développement logiciel.
Directeur général, président et cofondateur
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Après la découverte d'une faille malveillante dans la chaîne logistique logicielle, le secteur de la cybersécurité est à nouveau en état d'alerte. Cette faille affecte la bibliothèque de compression de données XZ Utils fournie avec les principales distributions Linux.répertoriée sous le numéro CVE-2024-3094, et qui résulte de l'insertion délibérée d'une porte dérobée par un contributeur bénévole autrefois considéré comme fiable. Si elle est exploitée avec succès, elle permet dans certains cas l'exécution de code à distance (RCE), ce qui représente une menace très grave susceptible de nuire considérablement aux processus de construction logicielle établis.
Heureusement, un autre contributeur a découvert cette menace avant que le code malveillant ne soit intégré dans les versions stables de Linux,Cependant, pour ceux qui ont commencé à utiliser les versions 5.6.0 et 5.6.1 de XZ Utils dans le cadre de Fedora Rawhide, cela reste un problème, et les organisations sont invitées à appliquer le correctif de manière urgente. Si cette découverte n'avait pas été faite à temps, le risque aurait été tel que cela aurait pu constituer l'une des attaques de chaîne d'approvisionnement les plus destructrices jamais enregistrées, surpassant même SolarWinds.
Le fait que des bénévoles de la communauté assurent la maintenance de systèmes critiques est largement documenté, mais rarement discuté jusqu'à ce que des problèmes à fort impact, tels que celui-ci, apparaissent. Bien que leur travail acharné soit essentiel au maintien des logiciels open source, cela souligne la nécessité de mettre sérieusement l'accent sur les compétences et la sensibilisation à la sécurité au niveau des développeurs, sans oublier le renforcement du contrôle d'accès aux référentiels logiciels.
Qu'est-ce que le programme malveillant XZ Utils et comment peut-on le contrer ?
Le 29 mars, Red Hat a publié une alerte de sécurité urgente informant les utilisateurs de Fedora Linux 40 et Fedora Rawhide que la dernière version de l'outil et de la bibliothèque de compression « XZ » contenait du code malveillant. Ce code malveillant semble avoir été spécialement conçu pour faciliter l'accès non autorisé par des tiers. La manière dont ce code malveillant a été injecté pourrait faire l'objet d'une étude approfondie à l'avenir. « XZ » et de sa bibliothèque contenait du code malveillant, apparemment conçu pour faciliter l'accès non autorisé de tiers. La manière dont ce code malveillant a été introduit pourrait faire l'objet d'une étude approfondie à l'avenir, mais elle équivaut à une campagne d'ingénierie sociale complexe et patiente, menée pendant plusieurs années par un acteur malveillant utilisant le pseudonyme « Jia ».et persévérant, mené par un acteur malveillant utilisant le pseudonyme « Jia ». Cet individu a consacré de nombreuses heures à gagner la confiance d'autres contributeurs, apportant des contributions légitimes au projet XZ Utils et à la communauté pendant plus de deux ans. Après avoir sapé la confiance du propriétaire du projet bénévole, Lasse Collin, à l'aide de plusieurs comptes fictifs, il a finalement obtenu le statut de « contributeur de confiance » :
Cette situation inhabituelle illustre parfaitement comment une personne hautement qualifiée sur le plan technique peut néanmoins être victime de stratégies généralement réservées à des personnes moins averties, ce qui souligne la nécessité d'une formation précise et axée sur les rôles en matière de sensibilisation à la sécurité. C'est uniquement grâce à la curiosité et à la vivacité d'esprit d'un ingénieur logiciel de Microsoft et d'un responsable de la maintenance de PostgreSQL que Andrés Freund, la porte dérobéea été découverte et la version a été rétrogradée, empêchant ainsi ce qui aurait pu être l'attaque de chaîne d'approvisionnement la plus destructrice de l'histoire récente.
Le programme de porte dérobée lui-même a été officiellement répertorié comme la vulnérabilité la plus grave dans le registre du NIST. Initialement considéré comme permettant de contourner l'authentification SSH, une enquête plus approfondie a révélé qu'il permettait l'exécution de code à distance sans authentification sur les systèmes Linux vulnérables, notamment Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed et certaines versions de Debian.
Jia Tan semble avoir déployé des efforts considérables pour dissimuler le paquet malveillant, qui, lorsqu'il est déclenché pendant le processus de compilation, empêche l'authentification via systemd dans SSHD. Comme l'explique Red Hat en détail, dans certaines circonstances, cette interférence pourrait permettre à un attaquant de contourner l'authentification SSHD et d'obtenir un accès distant non autorisé à l'ensemble du système.
除其他外,微软有 发布了全面的指南 在扫描系统上查看漏洞利用实例并减轻其影响,以及建议立即采取的措施 CISA 是受影响的开发者和用户应该将XZ Utils降级到不打折扣的版本,例如XZ Utils 5.4.6稳定版。
Il est extrêmement difficile de prévenir ce type d'attaque, en particulier lorsque des composants open source sont utilisés dans les logiciels, car la sécurité de la chaîne d'approvisionnement est peu garantie et peu transparente. Nous avons déjà corrigé des vulnérabilités accidentelles dans la chaîne d'approvisionnement logicielle, mais ce risque s'est accru et inclut désormais des vulnérabilités implantées intentionnellement pour compromettre la sécurité open source.
À moins d'avoir une forte conscience de la sécurité, de bonnes connaissances en la matière et une certaine paranoïa, la plupart des développeurs ne seront pas en mesure de bloquer ce type d'attaque. Il s'agit presque d'un exemple qui nécessite un état d'esprit de menaçant.Cependant, la principale considération doit toujours être centrée sur le référentiel de code source, c'est-à-dire le contrôle interne (non open source). Seules les personnes ayant des compétences vérifiées en matière de sécurité peuvent y accéder. Les professionnels de la sécurité des applications peuvent envisager des configurations telles que des contrôles de sécurité au niveau des branches, qui n'autorisent que les développeurs ayant des compétences en matière de sécurité à apporter des modifications à la branche principale finale.
Les bénévoles sont des héros, mais il est nécessaire de disposer d'une communauté pour maintenir la sécurité des logiciels.
Pour ceux qui ne sont pas familiarisés avec le domaine du génie logiciel, l'idée qu'une communauté dynamique de bénévoles puisse maintenir avec diligence des systèmes critiques à leur époque peut sembler difficile à appréhender. Cependant, c'est l'essence même du développement open source, et pour les professionnels chargés de protéger la sécurité de la chaîne d'approvisionnement, cela reste un domaine présentant des risques importants.
Les logiciels open source constituent un élément essentiel de l'écosystème numérique de presque toutes les entreprises. Les mainteneurs dignes de confiance (dont la plupart agissent de bonne foi) sont véritablement des héros dans leur quête désintéressée du progrès technologique et de l'intégrité.Cependant, il serait irréaliste de leur demander d'agir de manière isolée. À l'ère du DevSecOps, la sécurité est une responsabilité partagée, et chaque développeur doit disposer des connaissances et des outils appropriés pour faire face aux problèmes de sécurité qu'il peut rencontrer dans son travail quotidien. La sensibilisation à la sécurité et les compétences pratiques doivent être des éléments incontournables du processus de développement logiciel, et les responsables de la sécurité ont la responsabilité d'influencer le changement au niveau de l'entreprise.
Instaurer une culture de la sécurité florissante dans les organisations modernes grâce à une approche approfondie Cours Proposé par les champions du code de sécurité.
Après la découverte d'une faille malveillante dans la chaîne logistique logicielle, le secteur de la cybersécurité est à nouveau en état d'alerte. Cette faille affecte la bibliothèque de compression de données XZ Utils fournie avec les principales distributions Linux.répertoriée sous le numéro CVE-2024-3094, et qui résulte de l'insertion délibérée d'une porte dérobée par un contributeur bénévole autrefois considéré comme fiable. Si elle est exploitée avec succès, elle permet dans certains cas l'exécution de code à distance (RCE), ce qui représente une menace très grave susceptible de nuire considérablement aux processus de construction logicielle établis.
Heureusement, un autre contributeur a découvert cette menace avant que le code malveillant ne soit intégré dans les versions stables de Linux,Cependant, pour ceux qui ont commencé à utiliser les versions 5.6.0 et 5.6.1 de XZ Utils dans le cadre de Fedora Rawhide, cela reste un problème, et les organisations sont invitées à appliquer le correctif de manière urgente. Si cette découverte n'avait pas été faite à temps, le risque aurait été tel que cela aurait pu constituer l'une des attaques de chaîne d'approvisionnement les plus destructrices jamais enregistrées, surpassant même SolarWinds.
Le fait que des bénévoles de la communauté assurent la maintenance de systèmes critiques est largement documenté, mais rarement discuté jusqu'à ce que des problèmes à fort impact, tels que celui-ci, apparaissent. Bien que leur travail acharné soit essentiel au maintien des logiciels open source, cela souligne la nécessité de mettre sérieusement l'accent sur les compétences et la sensibilisation à la sécurité au niveau des développeurs, sans oublier le renforcement du contrôle d'accès aux référentiels logiciels.
Qu'est-ce que le programme malveillant XZ Utils et comment peut-on le contrer ?
Le 29 mars, Red Hat a publié une alerte de sécurité urgente informant les utilisateurs de Fedora Linux 40 et Fedora Rawhide que la dernière version de l'outil et de la bibliothèque de compression « XZ » contenait du code malveillant. Ce code malveillant semble avoir été spécialement conçu pour faciliter l'accès non autorisé par des tiers. La manière dont ce code malveillant a été injecté pourrait faire l'objet d'une étude approfondie à l'avenir. « XZ » et de sa bibliothèque contenait du code malveillant, apparemment conçu pour faciliter l'accès non autorisé de tiers. La manière dont ce code malveillant a été introduit pourrait faire l'objet d'une étude approfondie à l'avenir, mais elle équivaut à une campagne d'ingénierie sociale complexe et patiente, menée pendant plusieurs années par un acteur malveillant utilisant le pseudonyme « Jia ».et persévérant, mené par un acteur malveillant utilisant le pseudonyme « Jia ». Cet individu a consacré de nombreuses heures à gagner la confiance d'autres contributeurs, apportant des contributions légitimes au projet XZ Utils et à la communauté pendant plus de deux ans. Après avoir sapé la confiance du propriétaire du projet bénévole, Lasse Collin, à l'aide de plusieurs comptes fictifs, il a finalement obtenu le statut de « contributeur de confiance » :
Cette situation inhabituelle illustre parfaitement comment une personne hautement qualifiée sur le plan technique peut néanmoins être victime de stratégies généralement réservées à des personnes moins averties, ce qui souligne la nécessité d'une formation précise et axée sur les rôles en matière de sensibilisation à la sécurité. C'est uniquement grâce à la curiosité et à la vivacité d'esprit d'un ingénieur logiciel de Microsoft et d'un responsable de la maintenance de PostgreSQL que Andrés Freund, la porte dérobéea été découverte et la version a été rétrogradée, empêchant ainsi ce qui aurait pu être l'attaque de chaîne d'approvisionnement la plus destructrice de l'histoire récente.
Le programme de porte dérobée lui-même a été officiellement répertorié comme la vulnérabilité la plus grave dans le registre du NIST. Initialement considéré comme permettant de contourner l'authentification SSH, une enquête plus approfondie a révélé qu'il permettait l'exécution de code à distance sans authentification sur les systèmes Linux vulnérables, notamment Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed et certaines versions de Debian.
Jia Tan semble avoir déployé des efforts considérables pour dissimuler le paquet malveillant, qui, lorsqu'il est déclenché pendant le processus de compilation, empêche l'authentification via systemd dans SSHD. Comme l'explique Red Hat en détail, dans certaines circonstances, cette interférence pourrait permettre à un attaquant de contourner l'authentification SSHD et d'obtenir un accès distant non autorisé à l'ensemble du système.
除其他外,微软有 发布了全面的指南 在扫描系统上查看漏洞利用实例并减轻其影响,以及建议立即采取的措施 CISA 是受影响的开发者和用户应该将XZ Utils降级到不打折扣的版本,例如XZ Utils 5.4.6稳定版。
Il est extrêmement difficile de prévenir ce type d'attaque, en particulier lorsque des composants open source sont utilisés dans les logiciels, car la sécurité de la chaîne d'approvisionnement est peu garantie et peu transparente. Nous avons déjà corrigé des vulnérabilités accidentelles dans la chaîne d'approvisionnement logicielle, mais ce risque s'est accru et inclut désormais des vulnérabilités implantées intentionnellement pour compromettre la sécurité open source.
À moins d'avoir une forte conscience de la sécurité, de bonnes connaissances en la matière et une certaine paranoïa, la plupart des développeurs ne seront pas en mesure de bloquer ce type d'attaque. Il s'agit presque d'un exemple qui nécessite un état d'esprit de menaçant.Cependant, la principale considération doit toujours être centrée sur le référentiel de code source, c'est-à-dire le contrôle interne (non open source). Seules les personnes ayant des compétences vérifiées en matière de sécurité peuvent y accéder. Les professionnels de la sécurité des applications peuvent envisager des configurations telles que des contrôles de sécurité au niveau des branches, qui n'autorisent que les développeurs ayant des compétences en matière de sécurité à apporter des modifications à la branche principale finale.
Les bénévoles sont des héros, mais il est nécessaire de disposer d'une communauté pour maintenir la sécurité des logiciels.
Pour ceux qui ne sont pas familiarisés avec le domaine du génie logiciel, l'idée qu'une communauté dynamique de bénévoles puisse maintenir avec diligence des systèmes critiques à leur époque peut sembler difficile à appréhender. Cependant, c'est l'essence même du développement open source, et pour les professionnels chargés de protéger la sécurité de la chaîne d'approvisionnement, cela reste un domaine présentant des risques importants.
Les logiciels open source constituent un élément essentiel de l'écosystème numérique de presque toutes les entreprises. Les mainteneurs dignes de confiance (dont la plupart agissent de bonne foi) sont véritablement des héros dans leur quête désintéressée du progrès technologique et de l'intégrité.Cependant, il serait irréaliste de leur demander d'agir de manière isolée. À l'ère du DevSecOps, la sécurité est une responsabilité partagée, et chaque développeur doit disposer des connaissances et des outils appropriés pour faire face aux problèmes de sécurité qu'il peut rencontrer dans son travail quotidien. La sensibilisation à la sécurité et les compétences pratiques doivent être des éléments incontournables du processus de développement logiciel, et les responsables de la sécurité ont la responsabilité d'influencer le changement au niveau de l'entreprise.
Instaurer une culture de la sécurité florissante dans les organisations modernes grâce à une approche approfondie Cours Proposé par les champions du code de sécurité.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Après la découverte d'une faille malveillante dans la chaîne logistique logicielle, le secteur de la cybersécurité est à nouveau en état d'alerte. Cette faille affecte la bibliothèque de compression de données XZ Utils fournie avec les principales distributions Linux.répertoriée sous le numéro CVE-2024-3094, et qui résulte de l'insertion délibérée d'une porte dérobée par un contributeur bénévole autrefois considéré comme fiable. Si elle est exploitée avec succès, elle permet dans certains cas l'exécution de code à distance (RCE), ce qui représente une menace très grave susceptible de nuire considérablement aux processus de construction logicielle établis.
Heureusement, un autre contributeur a découvert cette menace avant que le code malveillant ne soit intégré dans les versions stables de Linux,Cependant, pour ceux qui ont commencé à utiliser les versions 5.6.0 et 5.6.1 de XZ Utils dans le cadre de Fedora Rawhide, cela reste un problème, et les organisations sont invitées à appliquer le correctif de manière urgente. Si cette découverte n'avait pas été faite à temps, le risque aurait été tel que cela aurait pu constituer l'une des attaques de chaîne d'approvisionnement les plus destructrices jamais enregistrées, surpassant même SolarWinds.
Le fait que des bénévoles de la communauté assurent la maintenance de systèmes critiques est largement documenté, mais rarement discuté jusqu'à ce que des problèmes à fort impact, tels que celui-ci, apparaissent. Bien que leur travail acharné soit essentiel au maintien des logiciels open source, cela souligne la nécessité de mettre sérieusement l'accent sur les compétences et la sensibilisation à la sécurité au niveau des développeurs, sans oublier le renforcement du contrôle d'accès aux référentiels logiciels.
Qu'est-ce que le programme malveillant XZ Utils et comment peut-on le contrer ?
Le 29 mars, Red Hat a publié une alerte de sécurité urgente informant les utilisateurs de Fedora Linux 40 et Fedora Rawhide que la dernière version de l'outil et de la bibliothèque de compression « XZ » contenait du code malveillant. Ce code malveillant semble avoir été spécialement conçu pour faciliter l'accès non autorisé par des tiers. La manière dont ce code malveillant a été injecté pourrait faire l'objet d'une étude approfondie à l'avenir. « XZ » et de sa bibliothèque contenait du code malveillant, apparemment conçu pour faciliter l'accès non autorisé de tiers. La manière dont ce code malveillant a été introduit pourrait faire l'objet d'une étude approfondie à l'avenir, mais elle équivaut à une campagne d'ingénierie sociale complexe et patiente, menée pendant plusieurs années par un acteur malveillant utilisant le pseudonyme « Jia ».et persévérant, mené par un acteur malveillant utilisant le pseudonyme « Jia ». Cet individu a consacré de nombreuses heures à gagner la confiance d'autres contributeurs, apportant des contributions légitimes au projet XZ Utils et à la communauté pendant plus de deux ans. Après avoir sapé la confiance du propriétaire du projet bénévole, Lasse Collin, à l'aide de plusieurs comptes fictifs, il a finalement obtenu le statut de « contributeur de confiance » :
Cette situation inhabituelle illustre parfaitement comment une personne hautement qualifiée sur le plan technique peut néanmoins être victime de stratégies généralement réservées à des personnes moins averties, ce qui souligne la nécessité d'une formation précise et axée sur les rôles en matière de sensibilisation à la sécurité. C'est uniquement grâce à la curiosité et à la vivacité d'esprit d'un ingénieur logiciel de Microsoft et d'un responsable de la maintenance de PostgreSQL que Andrés Freund, la porte dérobéea été découverte et la version a été rétrogradée, empêchant ainsi ce qui aurait pu être l'attaque de chaîne d'approvisionnement la plus destructrice de l'histoire récente.
Le programme de porte dérobée lui-même a été officiellement répertorié comme la vulnérabilité la plus grave dans le registre du NIST. Initialement considéré comme permettant de contourner l'authentification SSH, une enquête plus approfondie a révélé qu'il permettait l'exécution de code à distance sans authentification sur les systèmes Linux vulnérables, notamment Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed et certaines versions de Debian.
Jia Tan semble avoir déployé des efforts considérables pour dissimuler le paquet malveillant, qui, lorsqu'il est déclenché pendant le processus de compilation, empêche l'authentification via systemd dans SSHD. Comme l'explique Red Hat en détail, dans certaines circonstances, cette interférence pourrait permettre à un attaquant de contourner l'authentification SSHD et d'obtenir un accès distant non autorisé à l'ensemble du système.
除其他外,微软有 发布了全面的指南 在扫描系统上查看漏洞利用实例并减轻其影响,以及建议立即采取的措施 CISA 是受影响的开发者和用户应该将XZ Utils降级到不打折扣的版本,例如XZ Utils 5.4.6稳定版。
Il est extrêmement difficile de prévenir ce type d'attaque, en particulier lorsque des composants open source sont utilisés dans les logiciels, car la sécurité de la chaîne d'approvisionnement est peu garantie et peu transparente. Nous avons déjà corrigé des vulnérabilités accidentelles dans la chaîne d'approvisionnement logicielle, mais ce risque s'est accru et inclut désormais des vulnérabilités implantées intentionnellement pour compromettre la sécurité open source.
À moins d'avoir une forte conscience de la sécurité, de bonnes connaissances en la matière et une certaine paranoïa, la plupart des développeurs ne seront pas en mesure de bloquer ce type d'attaque. Il s'agit presque d'un exemple qui nécessite un état d'esprit de menaçant.Cependant, la principale considération doit toujours être centrée sur le référentiel de code source, c'est-à-dire le contrôle interne (non open source). Seules les personnes ayant des compétences vérifiées en matière de sécurité peuvent y accéder. Les professionnels de la sécurité des applications peuvent envisager des configurations telles que des contrôles de sécurité au niveau des branches, qui n'autorisent que les développeurs ayant des compétences en matière de sécurité à apporter des modifications à la branche principale finale.
Les bénévoles sont des héros, mais il est nécessaire de disposer d'une communauté pour maintenir la sécurité des logiciels.
Pour ceux qui ne sont pas familiarisés avec le domaine du génie logiciel, l'idée qu'une communauté dynamique de bénévoles puisse maintenir avec diligence des systèmes critiques à leur époque peut sembler difficile à appréhender. Cependant, c'est l'essence même du développement open source, et pour les professionnels chargés de protéger la sécurité de la chaîne d'approvisionnement, cela reste un domaine présentant des risques importants.
Les logiciels open source constituent un élément essentiel de l'écosystème numérique de presque toutes les entreprises. Les mainteneurs dignes de confiance (dont la plupart agissent de bonne foi) sont véritablement des héros dans leur quête désintéressée du progrès technologique et de l'intégrité.Cependant, il serait irréaliste de leur demander d'agir de manière isolée. À l'ère du DevSecOps, la sécurité est une responsabilité partagée, et chaque développeur doit disposer des connaissances et des outils appropriés pour faire face aux problèmes de sécurité qu'il peut rencontrer dans son travail quotidien. La sensibilisation à la sécurité et les compétences pratiques doivent être des éléments incontournables du processus de développement logiciel, et les responsables de la sécurité ont la responsabilité d'influencer le changement au niveau de l'entreprise.
Instaurer une culture de la sécurité florissante dans les organisations modernes grâce à une approche approfondie Cours Proposé par les champions du code de sécurité.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
