리눅스 XZ 유틸리티의 백도어는 광범위한 공급망 보안 문제를 시사하며, 이를 막기 위해서는 커뮤니티 정신 이상의 것이 필요합니다.
교활한 소프트웨어 공급망 침해가 발견되면서 사이버 보안 업계는 다시 한 번 높은 경계에 봉착했습니다. 주요 Linux 배포판과 함께 제공되는 XZ Utils 데이터 압축 라이브러리에 영향을 미치는 이 취약점은 CVE-2024-3094 항목으로 기록되며, 결국 신뢰할 수 있었던 자원 봉사자 시스템 관리자가 의도적으로 백도어를 삽입한 것으로 귀결됩니다. 악용에 성공할 경우 경우에 따라 원격 코드 실행 (RCE)를 허용하는 것은 기존 소프트웨어 빌드 프로세스에 심각한 손상을 초래할 수 있다는 점에서 심각도가 매우 높은 문제입니다.
다행히도 악성 코드가 안정적인 Linux 릴리스에 진입하기 전에 다른 관리자가 이 위협을 발견했지만, Fedora Rawhide의 일부로 XZ Utils 버전 5.6.0과 5.6.1을 실행하기 시작한 사용자에게는 여전히 문제가 되고 있으며 조직에서는 패치 촉구 비상 수준의 우선순위입니다.이러한 발견이 제때 이루어지지 않는다면 위험 프로파일을 보면 이는 아마도 SolarWinds를 능가하는 가장 파괴적인 공급망 공격 중 하나로 기록될 것입니다.
중요한 시스템을 유지 관리하기 위해 커뮤니티 자원봉사자에 의존하는 것은 널리 문서화되어 있지만, 이 사건과 같이 영향력이 큰 문제가 표면으로 드러나기 전까지는 거의 논의되지 않습니다. 이들의 지칠 줄 모르는 노력은 오픈 소스 소프트웨어의 유지 관리에 필수적이지만, 이는 소프트웨어 리포지토리에 대한 액세스 제어를 강화하는 것은 말할 것도 없고 개발자 수준에서 보안 기술과 인식에 중점을 두어야 할 필요성을 부각시키고 있습니다.
XZ Utils 백도어란 무엇이며 어떻게 완화됩니까?
3월 29일, 레드햇은 긴급 보안 경고를 게시했습니다. 이는 Fedora Linux 4.0 및 Fedora Rawhide 사용자에게 최신 버전의 "XZ" 압축 도구 및 라이브러리에 제3자의 무단 접근을 용이하게 하기 위해 특별히 제작된 것으로 보이는 악성 코드가 포함되어 있음을 알리기 위한 것입니다. 이 악성 코드가 어떻게 주입되었는지는 향후 집중적인 연구 대상이 될 것입니다. 하지만 이는 위협 행위자인 가명 측에서 수년에 걸친 정교하고 인내심 있는 사회 공학 실습에 해당합니다. "지아 탄"이라고 불리는 공격자. 이 사람은 2년 넘게 XZ Utils 프로젝트 및 커뮤니티에 합법적인 기여를 하면서 다른 메인테이너의 신뢰를 얻는 데 셀 수 없이 많은 시간을 보냈으며, 여러 개의 sockpuppet 계정으로 인해 자원 봉사 프로젝트 소유자인 Lasse Collin에 대한 신뢰가 약해진 후 결국 "신뢰할 수 있는 관리자" 지위를 얻었습니다.
이 특이한 시나리오는 고도로 기술적인 사람이 일반적으로 지식이 부족한 사람들을 상대로 사용하는 전술의 희생양이 되고 있는 대표적인 예로서, 정밀한 역할 기반 보안 인식 교육의 필요성을 보여줍니다. 이는 단지 Microsoft 소프트웨어 엔지니어이자 PostgreSQL 유지 관리자의 호기심과 빠른 사고 덕분이었습니다. 안드레스 프라운드백도어가발견되고 버전이 롤백되어 최근 역사상 가장 파괴적이었을 수 있는 공급망 공격을 막았다는 것입니다.
백도어 자체는 공식적으로 가능한 가장 심각한 취약점으로 추적되고 있습니다. NIST 레지스트리. 처음에는 SSH 인증 우회를 허용할 것으로 생각되었지만 추가 조사를 통해 페도라 로우하이드, 페도라 41, 칼리 리눅스, OpenSUSE 마이크로 OS, OpenSUSE Tumbleweed 및 일부 데비안 버전을 포함한 취약한 리눅스 시스템에서 인증되지 않은 원격 코드 실행이 가능하다는 사실이 밝혀졌습니다.
Jia Tan은 악성 패키지를 찾기 위해 많은 노력을 기울인 것으로 보입니다. 악성 패키지는 빌드 프로세스 중에 자체적으로 구성되도록 트리거되면 systemd를 통한 SSHD의 인증을 방해합니다. 레드햇에 따르면, 적절한 상황에서 이러한 방해로 인해 공격자는 잠재적으로 SSHD 인증을 위반하고 전체 시스템에 원격으로 무단 접근할 수 있습니다.
마이크로소프트는 그 중에서도 포괄적인 지침 발표 시스템에서 익스플로잇 인스턴스를 검색하고 그 영향을 완화하는 것과 다음 기관에서 권장하는 즉각적인 조치에 대해 CISA 영향을 받는 개발자와 사용자는 XZ Utils 5.4.6 Stable과 같은 손상되지 않은 버전으로 XZ Utils를 다운그레이드해야 한다는 것입니다.
이러한 유형의 공격을 방지하는 것은 매우 어렵습니다. 특히 소프트웨어에서 오픈 소스 구성 요소를 활용할 때는 공급망의 보안에 대한 확신과 투명성이 거의 없기 때문입니다. 우리는 이미 소프트웨어 공급망의 우발적인 결함을 해결해 왔지만, 이러한 위험에는 오픈 소스 보안을 침해하려는 악의적인 의도를 가지고 의도적으로 심어진 보안 버그가 포함되는 것으로 나타났습니다.
대부분의 개발자는 보안 의식이 강하고 보안 지식이 풍부하며 편집증이 심하지 않은 한 이러한 성격의 공격을 막을 수 없습니다. 위협 행위자의 사고방식을 요구하는 수준에 가깝습니다. 하지만 가장 중요한 고려 사항은 항상 다음과 같은 소스 코드 리포지토리를 중심으로 이루어져야 합니다. 내부적으로 통제됩니다(즉, 오픈 소스가 아님). 이러한 정보는 검증된 관련 보안 기술을 갖춘 사람만 이용할 수 있어야 합니다. AppSec 전문가는 보안 숙련된 개발자만 최종 마스터 브랜치에 변경 사항을 커밋할 수 있도록 하는 분기 수준 보안 제어와 같은 설정을 고려할 수 있습니다.
자원 봉사자 메인테이너는 영웅이지만 안전한 소프트웨어를 유지하기 위해서는 많은 노력이 필요합니다.
소프트웨어 엔지니어링의 영역을 벗어난 사람들은 활발한 자원 봉사자 커뮤니티가 자신의 시간에 중요한 시스템을 열심히 유지 관리한다는 개념을 이해하기 어려운 개념이지만, 이것이 오픈 소스 개발의 특성이며 공급망을 보호하는 보안 전문가에게는 여전히 심각한 위험 영역으로 남아 있습니다.
오픈 소스 소프트웨어는 거의 모든 기업의 디지털 생태계에서 중요한 부분을 차지합니다. 신뢰할 수 있는 유지 관리자(대부분 선의로 행동함)는 기술 진보와 무결성을 사심 없이 추구하는 진정한 영웅적 존재이지만, 이들을 고립된 상태로 계속 제공하는 것은 말도 안 되는 일입니다.DevSecops가 중심인 이 시대에 보안은 공동의 책임이며, 모든 개발자는 업무 중에 발생할 수 있는 보안 문제를 해결할 수 있는 지식과 적합한 도구를 갖추어야 합니다. 보안 인식과 실무 기술은 소프트웨어 개발 프로세스에서 타협할 수 없는 수준이어야 하며, 기업 수준에서 변화에 영향을 미치는 것은 보안 리더의 몫입니다.
심층적인 정보를 바탕으로 오늘날 조직에 번성하는 보안 문화를 구축하세요. 교육 과정 시큐어 코드 워리어로부터.
주요 Linux 배포판에서 사용하는 XZ Utils 데이터 압축 라이브러리에서 위협 행위자가 백도어를 통해 도입한 심각한 취약점인 CVE-2024-3094 취약점이 발견되었습니다.이 심각한 취약점은 잠재적인 원격 코드 실행을 허용하여 소프트웨어 빌드 프로세스에 심각한 위험을 초래합니다. 이 결함은 Fedora Rawhide에 있는 XZ Utils의 초기 버전(5.6.0 및 5.6.1)에 영향을 미치며, 조직에서 패치를 긴급히 적용할 것을 요청하고 있습니다. 이 사건은 오픈 소스 소프트웨어 유지 관리에 있어 커뮤니티 자원봉사자의 중요한 역할을 강조하고 소프트웨어 개발 라이프사이클 내에서 향상된 보안 관행을 필요로 합니다. 에 영향을 미치며, 조직에서 패치를 긴급히 적용할 것을 요청하고 있습니다. 이 사건은 오픈 소스 소프트웨어 유지 관리에서 커뮤니티 자원봉사자의 중요성을 부각시키며, 소프트웨어 개발 라이프사이클 내에서 강화된 보안 관행과 접근 제어의 필요성을 강조합니다.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
교활한 소프트웨어 공급망 침해가 발견되면서 사이버 보안 업계는 다시 한 번 높은 경계에 봉착했습니다. 주요 Linux 배포판과 함께 제공되는 XZ Utils 데이터 압축 라이브러리에 영향을 미치는 이 취약점은 CVE-2024-3094 항목으로 기록되며, 결국 신뢰할 수 있었던 자원 봉사자 시스템 관리자가 의도적으로 백도어를 삽입한 것으로 귀결됩니다. 악용에 성공할 경우 경우에 따라 원격 코드 실행 (RCE)를 허용하는 것은 기존 소프트웨어 빌드 프로세스에 심각한 손상을 초래할 수 있다는 점에서 심각도가 매우 높은 문제입니다.
다행히도 악성 코드가 안정적인 Linux 릴리스에 진입하기 전에 다른 관리자가 이 위협을 발견했지만, Fedora Rawhide의 일부로 XZ Utils 버전 5.6.0과 5.6.1을 실행하기 시작한 사용자에게는 여전히 문제가 되고 있으며 조직에서는 패치 촉구 비상 수준의 우선순위입니다.이러한 발견이 제때 이루어지지 않는다면 위험 프로파일을 보면 이는 아마도 SolarWinds를 능가하는 가장 파괴적인 공급망 공격 중 하나로 기록될 것입니다.
중요한 시스템을 유지 관리하기 위해 커뮤니티 자원봉사자에 의존하는 것은 널리 문서화되어 있지만, 이 사건과 같이 영향력이 큰 문제가 표면으로 드러나기 전까지는 거의 논의되지 않습니다. 이들의 지칠 줄 모르는 노력은 오픈 소스 소프트웨어의 유지 관리에 필수적이지만, 이는 소프트웨어 리포지토리에 대한 액세스 제어를 강화하는 것은 말할 것도 없고 개발자 수준에서 보안 기술과 인식에 중점을 두어야 할 필요성을 부각시키고 있습니다.
XZ Utils 백도어란 무엇이며 어떻게 완화됩니까?
3월 29일, 레드햇은 긴급 보안 경고를 게시했습니다. 이는 Fedora Linux 4.0 및 Fedora Rawhide 사용자에게 최신 버전의 "XZ" 압축 도구 및 라이브러리에 제3자의 무단 접근을 용이하게 하기 위해 특별히 제작된 것으로 보이는 악성 코드가 포함되어 있음을 알리기 위한 것입니다. 이 악성 코드가 어떻게 주입되었는지는 향후 집중적인 연구 대상이 될 것입니다. 하지만 이는 위협 행위자인 가명 측에서 수년에 걸친 정교하고 인내심 있는 사회 공학 실습에 해당합니다. "지아 탄"이라고 불리는 공격자. 이 사람은 2년 넘게 XZ Utils 프로젝트 및 커뮤니티에 합법적인 기여를 하면서 다른 메인테이너의 신뢰를 얻는 데 셀 수 없이 많은 시간을 보냈으며, 여러 개의 sockpuppet 계정으로 인해 자원 봉사 프로젝트 소유자인 Lasse Collin에 대한 신뢰가 약해진 후 결국 "신뢰할 수 있는 관리자" 지위를 얻었습니다.
이 특이한 시나리오는 고도로 기술적인 사람이 일반적으로 지식이 부족한 사람들을 상대로 사용하는 전술의 희생양이 되고 있는 대표적인 예로서, 정밀한 역할 기반 보안 인식 교육의 필요성을 보여줍니다. 이는 단지 Microsoft 소프트웨어 엔지니어이자 PostgreSQL 유지 관리자의 호기심과 빠른 사고 덕분이었습니다. 안드레스 프라운드백도어가발견되고 버전이 롤백되어 최근 역사상 가장 파괴적이었을 수 있는 공급망 공격을 막았다는 것입니다.
백도어 자체는 공식적으로 가능한 가장 심각한 취약점으로 추적되고 있습니다. NIST 레지스트리. 처음에는 SSH 인증 우회를 허용할 것으로 생각되었지만 추가 조사를 통해 페도라 로우하이드, 페도라 41, 칼리 리눅스, OpenSUSE 마이크로 OS, OpenSUSE Tumbleweed 및 일부 데비안 버전을 포함한 취약한 리눅스 시스템에서 인증되지 않은 원격 코드 실행이 가능하다는 사실이 밝혀졌습니다.
Jia Tan은 악성 패키지를 찾기 위해 많은 노력을 기울인 것으로 보입니다. 악성 패키지는 빌드 프로세스 중에 자체적으로 구성되도록 트리거되면 systemd를 통한 SSHD의 인증을 방해합니다. 레드햇에 따르면, 적절한 상황에서 이러한 방해로 인해 공격자는 잠재적으로 SSHD 인증을 위반하고 전체 시스템에 원격으로 무단 접근할 수 있습니다.
마이크로소프트는 그 중에서도 포괄적인 지침 발표 시스템에서 익스플로잇 인스턴스를 검색하고 그 영향을 완화하는 것과 다음 기관에서 권장하는 즉각적인 조치에 대해 CISA 영향을 받는 개발자와 사용자는 XZ Utils 5.4.6 Stable과 같은 손상되지 않은 버전으로 XZ Utils를 다운그레이드해야 한다는 것입니다.
이러한 유형의 공격을 방지하는 것은 매우 어렵습니다. 특히 소프트웨어에서 오픈 소스 구성 요소를 활용할 때는 공급망의 보안에 대한 확신과 투명성이 거의 없기 때문입니다. 우리는 이미 소프트웨어 공급망의 우발적인 결함을 해결해 왔지만, 이러한 위험에는 오픈 소스 보안을 침해하려는 악의적인 의도를 가지고 의도적으로 심어진 보안 버그가 포함되는 것으로 나타났습니다.
대부분의 개발자는 보안 의식이 강하고 보안 지식이 풍부하며 편집증이 심하지 않은 한 이러한 성격의 공격을 막을 수 없습니다. 위협 행위자의 사고방식을 요구하는 수준에 가깝습니다. 하지만 가장 중요한 고려 사항은 항상 다음과 같은 소스 코드 리포지토리를 중심으로 이루어져야 합니다. 내부적으로 통제됩니다(즉, 오픈 소스가 아님). 이러한 정보는 검증된 관련 보안 기술을 갖춘 사람만 이용할 수 있어야 합니다. AppSec 전문가는 보안 숙련된 개발자만 최종 마스터 브랜치에 변경 사항을 커밋할 수 있도록 하는 분기 수준 보안 제어와 같은 설정을 고려할 수 있습니다.
자원 봉사자 메인테이너는 영웅이지만 안전한 소프트웨어를 유지하기 위해서는 많은 노력이 필요합니다.
소프트웨어 엔지니어링의 영역을 벗어난 사람들은 활발한 자원 봉사자 커뮤니티가 자신의 시간에 중요한 시스템을 열심히 유지 관리한다는 개념을 이해하기 어려운 개념이지만, 이것이 오픈 소스 개발의 특성이며 공급망을 보호하는 보안 전문가에게는 여전히 심각한 위험 영역으로 남아 있습니다.
오픈 소스 소프트웨어는 거의 모든 기업의 디지털 생태계에서 중요한 부분을 차지합니다. 신뢰할 수 있는 유지 관리자(대부분 선의로 행동함)는 기술 진보와 무결성을 사심 없이 추구하는 진정한 영웅적 존재이지만, 이들을 고립된 상태로 계속 제공하는 것은 말도 안 되는 일입니다.DevSecops가 중심인 이 시대에 보안은 공동의 책임이며, 모든 개발자는 업무 중에 발생할 수 있는 보안 문제를 해결할 수 있는 지식과 적합한 도구를 갖추어야 합니다. 보안 인식과 실무 기술은 소프트웨어 개발 프로세스에서 타협할 수 없는 수준이어야 하며, 기업 수준에서 변화에 영향을 미치는 것은 보안 리더의 몫입니다.
심층적인 정보를 바탕으로 오늘날 조직에 번성하는 보안 문화를 구축하세요. 교육 과정 시큐어 코드 워리어로부터.
교활한 소프트웨어 공급망 침해가 발견되면서 사이버 보안 업계는 다시 한 번 높은 경계에 봉착했습니다. 주요 Linux 배포판과 함께 제공되는 XZ Utils 데이터 압축 라이브러리에 영향을 미치는 이 취약점은 CVE-2024-3094 항목으로 기록되며, 결국 신뢰할 수 있었던 자원 봉사자 시스템 관리자가 의도적으로 백도어를 삽입한 것으로 귀결됩니다. 악용에 성공할 경우 경우에 따라 원격 코드 실행 (RCE)를 허용하는 것은 기존 소프트웨어 빌드 프로세스에 심각한 손상을 초래할 수 있다는 점에서 심각도가 매우 높은 문제입니다.
다행히도 악성 코드가 안정적인 Linux 릴리스에 진입하기 전에 다른 관리자가 이 위협을 발견했지만, Fedora Rawhide의 일부로 XZ Utils 버전 5.6.0과 5.6.1을 실행하기 시작한 사용자에게는 여전히 문제가 되고 있으며 조직에서는 패치 촉구 비상 수준의 우선순위입니다.이러한 발견이 제때 이루어지지 않는다면 위험 프로파일을 보면 이는 아마도 SolarWinds를 능가하는 가장 파괴적인 공급망 공격 중 하나로 기록될 것입니다.
중요한 시스템을 유지 관리하기 위해 커뮤니티 자원봉사자에 의존하는 것은 널리 문서화되어 있지만, 이 사건과 같이 영향력이 큰 문제가 표면으로 드러나기 전까지는 거의 논의되지 않습니다. 이들의 지칠 줄 모르는 노력은 오픈 소스 소프트웨어의 유지 관리에 필수적이지만, 이는 소프트웨어 리포지토리에 대한 액세스 제어를 강화하는 것은 말할 것도 없고 개발자 수준에서 보안 기술과 인식에 중점을 두어야 할 필요성을 부각시키고 있습니다.
XZ Utils 백도어란 무엇이며 어떻게 완화됩니까?
3월 29일, 레드햇은 긴급 보안 경고를 게시했습니다. 이는 Fedora Linux 4.0 및 Fedora Rawhide 사용자에게 최신 버전의 "XZ" 압축 도구 및 라이브러리에 제3자의 무단 접근을 용이하게 하기 위해 특별히 제작된 것으로 보이는 악성 코드가 포함되어 있음을 알리기 위한 것입니다. 이 악성 코드가 어떻게 주입되었는지는 향후 집중적인 연구 대상이 될 것입니다. 하지만 이는 위협 행위자인 가명 측에서 수년에 걸친 정교하고 인내심 있는 사회 공학 실습에 해당합니다. "지아 탄"이라고 불리는 공격자. 이 사람은 2년 넘게 XZ Utils 프로젝트 및 커뮤니티에 합법적인 기여를 하면서 다른 메인테이너의 신뢰를 얻는 데 셀 수 없이 많은 시간을 보냈으며, 여러 개의 sockpuppet 계정으로 인해 자원 봉사 프로젝트 소유자인 Lasse Collin에 대한 신뢰가 약해진 후 결국 "신뢰할 수 있는 관리자" 지위를 얻었습니다.
이 특이한 시나리오는 고도로 기술적인 사람이 일반적으로 지식이 부족한 사람들을 상대로 사용하는 전술의 희생양이 되고 있는 대표적인 예로서, 정밀한 역할 기반 보안 인식 교육의 필요성을 보여줍니다. 이는 단지 Microsoft 소프트웨어 엔지니어이자 PostgreSQL 유지 관리자의 호기심과 빠른 사고 덕분이었습니다. 안드레스 프라운드백도어가발견되고 버전이 롤백되어 최근 역사상 가장 파괴적이었을 수 있는 공급망 공격을 막았다는 것입니다.
백도어 자체는 공식적으로 가능한 가장 심각한 취약점으로 추적되고 있습니다. NIST 레지스트리. 처음에는 SSH 인증 우회를 허용할 것으로 생각되었지만 추가 조사를 통해 페도라 로우하이드, 페도라 41, 칼리 리눅스, OpenSUSE 마이크로 OS, OpenSUSE Tumbleweed 및 일부 데비안 버전을 포함한 취약한 리눅스 시스템에서 인증되지 않은 원격 코드 실행이 가능하다는 사실이 밝혀졌습니다.
Jia Tan은 악성 패키지를 찾기 위해 많은 노력을 기울인 것으로 보입니다. 악성 패키지는 빌드 프로세스 중에 자체적으로 구성되도록 트리거되면 systemd를 통한 SSHD의 인증을 방해합니다. 레드햇에 따르면, 적절한 상황에서 이러한 방해로 인해 공격자는 잠재적으로 SSHD 인증을 위반하고 전체 시스템에 원격으로 무단 접근할 수 있습니다.
마이크로소프트는 그 중에서도 포괄적인 지침 발표 시스템에서 익스플로잇 인스턴스를 검색하고 그 영향을 완화하는 것과 다음 기관에서 권장하는 즉각적인 조치에 대해 CISA 영향을 받는 개발자와 사용자는 XZ Utils 5.4.6 Stable과 같은 손상되지 않은 버전으로 XZ Utils를 다운그레이드해야 한다는 것입니다.
이러한 유형의 공격을 방지하는 것은 매우 어렵습니다. 특히 소프트웨어에서 오픈 소스 구성 요소를 활용할 때는 공급망의 보안에 대한 확신과 투명성이 거의 없기 때문입니다. 우리는 이미 소프트웨어 공급망의 우발적인 결함을 해결해 왔지만, 이러한 위험에는 오픈 소스 보안을 침해하려는 악의적인 의도를 가지고 의도적으로 심어진 보안 버그가 포함되는 것으로 나타났습니다.
대부분의 개발자는 보안 의식이 강하고 보안 지식이 풍부하며 편집증이 심하지 않은 한 이러한 성격의 공격을 막을 수 없습니다. 위협 행위자의 사고방식을 요구하는 수준에 가깝습니다. 하지만 가장 중요한 고려 사항은 항상 다음과 같은 소스 코드 리포지토리를 중심으로 이루어져야 합니다. 내부적으로 통제됩니다(즉, 오픈 소스가 아님). 이러한 정보는 검증된 관련 보안 기술을 갖춘 사람만 이용할 수 있어야 합니다. AppSec 전문가는 보안 숙련된 개발자만 최종 마스터 브랜치에 변경 사항을 커밋할 수 있도록 하는 분기 수준 보안 제어와 같은 설정을 고려할 수 있습니다.
자원 봉사자 메인테이너는 영웅이지만 안전한 소프트웨어를 유지하기 위해서는 많은 노력이 필요합니다.
소프트웨어 엔지니어링의 영역을 벗어난 사람들은 활발한 자원 봉사자 커뮤니티가 자신의 시간에 중요한 시스템을 열심히 유지 관리한다는 개념을 이해하기 어려운 개념이지만, 이것이 오픈 소스 개발의 특성이며 공급망을 보호하는 보안 전문가에게는 여전히 심각한 위험 영역으로 남아 있습니다.
오픈 소스 소프트웨어는 거의 모든 기업의 디지털 생태계에서 중요한 부분을 차지합니다. 신뢰할 수 있는 유지 관리자(대부분 선의로 행동함)는 기술 진보와 무결성을 사심 없이 추구하는 진정한 영웅적 존재이지만, 이들을 고립된 상태로 계속 제공하는 것은 말도 안 되는 일입니다.DevSecops가 중심인 이 시대에 보안은 공동의 책임이며, 모든 개발자는 업무 중에 발생할 수 있는 보안 문제를 해결할 수 있는 지식과 적합한 도구를 갖추어야 합니다. 보안 인식과 실무 기술은 소프트웨어 개발 프로세스에서 타협할 수 없는 수준이어야 하며, 기업 수준에서 변화에 영향을 미치는 것은 보안 리더의 몫입니다.
심층적인 정보를 바탕으로 오늘날 조직에 번성하는 보안 문화를 구축하세요. 교육 과정 시큐어 코드 워리어로부터.
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
교활한 소프트웨어 공급망 침해가 발견되면서 사이버 보안 업계는 다시 한 번 높은 경계에 봉착했습니다. 주요 Linux 배포판과 함께 제공되는 XZ Utils 데이터 압축 라이브러리에 영향을 미치는 이 취약점은 CVE-2024-3094 항목으로 기록되며, 결국 신뢰할 수 있었던 자원 봉사자 시스템 관리자가 의도적으로 백도어를 삽입한 것으로 귀결됩니다. 악용에 성공할 경우 경우에 따라 원격 코드 실행 (RCE)를 허용하는 것은 기존 소프트웨어 빌드 프로세스에 심각한 손상을 초래할 수 있다는 점에서 심각도가 매우 높은 문제입니다.
다행히도 악성 코드가 안정적인 Linux 릴리스에 진입하기 전에 다른 관리자가 이 위협을 발견했지만, Fedora Rawhide의 일부로 XZ Utils 버전 5.6.0과 5.6.1을 실행하기 시작한 사용자에게는 여전히 문제가 되고 있으며 조직에서는 패치 촉구 비상 수준의 우선순위입니다.이러한 발견이 제때 이루어지지 않는다면 위험 프로파일을 보면 이는 아마도 SolarWinds를 능가하는 가장 파괴적인 공급망 공격 중 하나로 기록될 것입니다.
중요한 시스템을 유지 관리하기 위해 커뮤니티 자원봉사자에 의존하는 것은 널리 문서화되어 있지만, 이 사건과 같이 영향력이 큰 문제가 표면으로 드러나기 전까지는 거의 논의되지 않습니다. 이들의 지칠 줄 모르는 노력은 오픈 소스 소프트웨어의 유지 관리에 필수적이지만, 이는 소프트웨어 리포지토리에 대한 액세스 제어를 강화하는 것은 말할 것도 없고 개발자 수준에서 보안 기술과 인식에 중점을 두어야 할 필요성을 부각시키고 있습니다.
XZ Utils 백도어란 무엇이며 어떻게 완화됩니까?
3월 29일, 레드햇은 긴급 보안 경고를 게시했습니다. 이는 Fedora Linux 4.0 및 Fedora Rawhide 사용자에게 최신 버전의 "XZ" 압축 도구 및 라이브러리에 제3자의 무단 접근을 용이하게 하기 위해 특별히 제작된 것으로 보이는 악성 코드가 포함되어 있음을 알리기 위한 것입니다. 이 악성 코드가 어떻게 주입되었는지는 향후 집중적인 연구 대상이 될 것입니다. 하지만 이는 위협 행위자인 가명 측에서 수년에 걸친 정교하고 인내심 있는 사회 공학 실습에 해당합니다. "지아 탄"이라고 불리는 공격자. 이 사람은 2년 넘게 XZ Utils 프로젝트 및 커뮤니티에 합법적인 기여를 하면서 다른 메인테이너의 신뢰를 얻는 데 셀 수 없이 많은 시간을 보냈으며, 여러 개의 sockpuppet 계정으로 인해 자원 봉사 프로젝트 소유자인 Lasse Collin에 대한 신뢰가 약해진 후 결국 "신뢰할 수 있는 관리자" 지위를 얻었습니다.
이 특이한 시나리오는 고도로 기술적인 사람이 일반적으로 지식이 부족한 사람들을 상대로 사용하는 전술의 희생양이 되고 있는 대표적인 예로서, 정밀한 역할 기반 보안 인식 교육의 필요성을 보여줍니다. 이는 단지 Microsoft 소프트웨어 엔지니어이자 PostgreSQL 유지 관리자의 호기심과 빠른 사고 덕분이었습니다. 안드레스 프라운드백도어가발견되고 버전이 롤백되어 최근 역사상 가장 파괴적이었을 수 있는 공급망 공격을 막았다는 것입니다.
백도어 자체는 공식적으로 가능한 가장 심각한 취약점으로 추적되고 있습니다. NIST 레지스트리. 처음에는 SSH 인증 우회를 허용할 것으로 생각되었지만 추가 조사를 통해 페도라 로우하이드, 페도라 41, 칼리 리눅스, OpenSUSE 마이크로 OS, OpenSUSE Tumbleweed 및 일부 데비안 버전을 포함한 취약한 리눅스 시스템에서 인증되지 않은 원격 코드 실행이 가능하다는 사실이 밝혀졌습니다.
Jia Tan은 악성 패키지를 찾기 위해 많은 노력을 기울인 것으로 보입니다. 악성 패키지는 빌드 프로세스 중에 자체적으로 구성되도록 트리거되면 systemd를 통한 SSHD의 인증을 방해합니다. 레드햇에 따르면, 적절한 상황에서 이러한 방해로 인해 공격자는 잠재적으로 SSHD 인증을 위반하고 전체 시스템에 원격으로 무단 접근할 수 있습니다.
마이크로소프트는 그 중에서도 포괄적인 지침 발표 시스템에서 익스플로잇 인스턴스를 검색하고 그 영향을 완화하는 것과 다음 기관에서 권장하는 즉각적인 조치에 대해 CISA 영향을 받는 개발자와 사용자는 XZ Utils 5.4.6 Stable과 같은 손상되지 않은 버전으로 XZ Utils를 다운그레이드해야 한다는 것입니다.
이러한 유형의 공격을 방지하는 것은 매우 어렵습니다. 특히 소프트웨어에서 오픈 소스 구성 요소를 활용할 때는 공급망의 보안에 대한 확신과 투명성이 거의 없기 때문입니다. 우리는 이미 소프트웨어 공급망의 우발적인 결함을 해결해 왔지만, 이러한 위험에는 오픈 소스 보안을 침해하려는 악의적인 의도를 가지고 의도적으로 심어진 보안 버그가 포함되는 것으로 나타났습니다.
대부분의 개발자는 보안 의식이 강하고 보안 지식이 풍부하며 편집증이 심하지 않은 한 이러한 성격의 공격을 막을 수 없습니다. 위협 행위자의 사고방식을 요구하는 수준에 가깝습니다. 하지만 가장 중요한 고려 사항은 항상 다음과 같은 소스 코드 리포지토리를 중심으로 이루어져야 합니다. 내부적으로 통제됩니다(즉, 오픈 소스가 아님). 이러한 정보는 검증된 관련 보안 기술을 갖춘 사람만 이용할 수 있어야 합니다. AppSec 전문가는 보안 숙련된 개발자만 최종 마스터 브랜치에 변경 사항을 커밋할 수 있도록 하는 분기 수준 보안 제어와 같은 설정을 고려할 수 있습니다.
자원 봉사자 메인테이너는 영웅이지만 안전한 소프트웨어를 유지하기 위해서는 많은 노력이 필요합니다.
소프트웨어 엔지니어링의 영역을 벗어난 사람들은 활발한 자원 봉사자 커뮤니티가 자신의 시간에 중요한 시스템을 열심히 유지 관리한다는 개념을 이해하기 어려운 개념이지만, 이것이 오픈 소스 개발의 특성이며 공급망을 보호하는 보안 전문가에게는 여전히 심각한 위험 영역으로 남아 있습니다.
오픈 소스 소프트웨어는 거의 모든 기업의 디지털 생태계에서 중요한 부분을 차지합니다. 신뢰할 수 있는 유지 관리자(대부분 선의로 행동함)는 기술 진보와 무결성을 사심 없이 추구하는 진정한 영웅적 존재이지만, 이들을 고립된 상태로 계속 제공하는 것은 말도 안 되는 일입니다.DevSecops가 중심인 이 시대에 보안은 공동의 책임이며, 모든 개발자는 업무 중에 발생할 수 있는 보안 문제를 해결할 수 있는 지식과 적합한 도구를 갖추어야 합니다. 보안 인식과 실무 기술은 소프트웨어 개발 프로세스에서 타협할 수 없는 수준이어야 하며, 기업 수준에서 변화에 영향을 미치는 것은 보안 리더의 몫입니다.
심층적인 정보를 바탕으로 오늘날 조직에 번성하는 보안 문화를 구축하세요. 교육 과정 시큐어 코드 워리어로부터.
%20(1).avif)
.avif)
