🚨 Бэкдор в популярных Linux-дистрибутивах

Все выходные развивалась детективная история из мира open source. В библиотеке и утилитах для компрессии XZ был обнаружен бэкдор (CVE-2024-3094), который при определённых условиях предоставляет возможность выполнить произвольный код в системе, не оставляя следов в логах sshd.

Троянизированные версии 5.6.0 и 5.6.1 успели попасть в следующие популярные сборки Linux, выпущенные в марте:
🔴 Alpine (5.6.0 — 5.6.1-r1 )
🔴 Debian (тестовые версии) 5.5.1alpha-0.1 — 5.6.1-1.
🔴 Fedora Rawhide (тестовые версии)
🔴 Kali Linux
🔴 openSUSE Tumbleweed и MicroOS

Дрянь не была включена в стабильные дистрибутивы: Debian Stable, RHEL, Suse Linux Enterprise.
Arch Linux пишут, что хотя в образах были уязвимые пакеты, из-за специфики линковки openssh и liblzma в Arch бэкдор не может работать. Примерно то же самое сказано про Fedora 40 — вредоносные пакеты были, но троян не работает.

Для сомневающихся уже написано Yara-правило.
Тем, кто успел установить затрояненную версию, рекомендовано откатиться на более старые сборки и провести полноценное реагирование на инцидент.

Детективность истории состоит в том, что операция по внедрению длилась два года и включала в себя социальную инженерию, вытеснение предыдущего мейнтейнера и фейковые аккаунты разработчиков для продавливания нужных решений как в самой библиотеке XZ, так и в дистрибутивах, куда она входит.

Надежды на то, что разработчики ПО, использующего компоненты open source, значительно ужесточат «фейс-контроль» этих компонентов, у редакции, честно говоря, нет. Поэтому будем надеяться, что ИБ в крупных организациях повсеместно наладит комплексный мониторинг и детектирования аномалий в масштабе всей ИТ-инфраструктуры. 😏

#новости @П2Т

✅ Приоритеты CISO v.2024

Подоспело ежегодное обновление полезной шпаргалки CISO Mindmap.

Полная версия приложена к этому посту, а если совсем по верхам, то ИБ-лидерам рекомендовано сосредоточиться на таких улучшениях в подопечных организациях:

1️⃣ разработать скептический и осторожный план внедрения генеративного ИИ с учётом незрелости технологии и экосистемы;
2️⃣ консолидировать и рационализировать ИБ-инструменты. Больше — не значит лучше;
3️⃣ разработать и «продать» топ-менеджменту стратегию по развитию киберустойчивости организации — сделать так, чтобы реагирование на инциденты не было изолировано от функций поддержания непрерывности бизнеса;
4️⃣ развивать «внутренний бренд» ИБ-команды, учить её навыкам переговоров, убеждения, совместной работы, учить понимать бизнес-контекст решений;
5️⃣ оценить пользу различных мер безопасности и их влияние на повседневную работу сотрудников, на бизнес-процессы. Запланировать отказ от мер, существенно затрудняющих работу, но приносящих незначительное снижение рисков.

#советы @П2Т