La protección frente a un compromiso de la Supply Chain suministro no debería depender únicamente de la suerte, pero a veces puede ser así. Esto fue particularmente evidente en el reciente compromiso de la cadena de suministro con XZ Utils, una utilidad de compresión de datos de código abierto ampliamente utilizada en Linux y sistemas operativos tipo Unix. El 29 de marzo, se descubrió un commit malicioso en el repositorio de XZ Utils, que introducía una puerta trasera que comprometía los sistemas que ejecutaban el software. Esta puerta trasera permitía a usuarios no autorizados con una clave de cifrado específica inyectar código arbitrario a través de un certificado de inicio de sesión SSH. Todavía se están investigando los motivos de esta puerta trasera.
¿Cómo protege Vectra AI a sus clientes de exploits como el backdoor XZ Utils?
La plataforma Vectra AI puede identificar a los atacantes que explotan este tipo de puertas traseras. En incidentes en los que se explotan puertas traseras como la encontrada en XZ Utils, las capacidades de detección de Vectra AI identificarían la secuencia central de la progresión del atacante desde el acceso remoto, y el descubrimiento, hasta el movimiento lateral, mucho antes de que el ataque pudiera alcanzar sus objetivos. Las detecciones relevantes relacionadas específicamente con la explotación de XZ Utils incluyen túneles SSH inversos que serían activados por Suspicious Remote Access y el movimiento lateral sobre el protocolo SSH detectado por Suspicious Admin.
¿Cómo puedo averiguar si he estado expuesto a la vulnerabilidad de XZ Utils?
En respuesta al exploit XZ Utils, la comunidad ha presentado un proyecto llamado xzbot. Ofrece herramientas para que las organizaciones evalúen su exposición a esta vulnerabilidad:
- honeypot: falso servidor vulnerable para detectar intentos de explotación
- ed448 patch: parchea liblzma.so para usar nuestra propia clave pública ED448
- backdoor format: formato de la carga útil del backdoor
- backdoor demo: cli para activar el RCE asumiendo el conocimiento de la clave privada ED448
¿Cómo puedo protegerme contra los riesgos de Supply Chain en el futuro?
Es crucial comprender que incidentes como éste no deben disuadir a las organizaciones de utilizar software de código abierto. Los riesgos de la cadena de suministro no son exclusivos de los proyectos de código abierto; también pueden afectar al software comercial, como se vio en la brecha de SolarWinds. La clave para mitigar estos riesgos reside en la adopción de tecnologías de detección y respuesta, como Vectra AI, que puede identificar amenazas independientemente de los exploits utilizados por los atacantes. Vectra AI elimina la necesidad de que la suerte sea el único método para prevenir un compromiso de Supply Chain . Permite la detección como un medio de ver de forma fiable a un atacante si fuera a abusar de XZ Utils o de cualquier otro exploit que esté al acecho, centrándose en los comportamientos que abarcan la red, la identidad y la cloud.
A medida que el panorama de las amenazas siga evolucionando, continuaremos proporcionando recursos actualizados para ofrecer a los defensores información sobre actores de amenazas como Scattered SpiderMidnight Blizzard (APT29), entre otros.