四川嘉行科技有限公司歡迎您

新聞中心

NEWS CENTER

028-85520929

歡迎您來(lái)電咨詢
現(xiàn)在的位置:首頁(yè) > 新聞中心 > 行業(yè)新聞 > 詳情

從 XZ 到 Crowdstrike ——供應(yīng)鏈攻擊的影響和未來(lái)意義


供應(yīng)鏈攻擊可能對(duì)全球經(jīng)濟(jì)造成潛在影響,甚至導(dǎo)致其崩潰。Crowdstrike、XZ Utils 項(xiàng)目發(fā)生了什么?組織應(yīng)該采取哪些緩解策略來(lái)應(yīng)對(duì)供應(yīng)鏈攻擊?




全球化與數(shù)字化使得世界經(jīng)濟(jì)的許多方面高度依賴技術(shù),如智能手機(jī)和筆記本電腦,而這些技術(shù)又依賴于制造商定期提供的軟件和安全更新。這種錯(cuò)綜復(fù)雜的實(shí)體、資源、商品和服務(wù)網(wǎng)絡(luò)構(gòu)成了一個(gè)供應(yīng)網(wǎng)格,使我們今天所熟知的國(guó)際貿(mào)易、旅行和商業(yè)成為可能。


為了實(shí)現(xiàn)這些軟件更新,當(dāng)公司向其設(shè)備推送更新時(shí),人們會(huì)默認(rèn)信任這些更新是無(wú)惡意軟件且無(wú)錯(cuò)誤的。這種默認(rèn)的信任讓供應(yīng)鏈攻擊變得對(duì)威脅行為者來(lái)說(shuō)頗具吸引力。通過(guò)獲取制造商的基礎(chǔ)設(shè)施訪問(wèn)權(quán)限,威脅行為者能夠在合法的軟件更新中注入惡意軟件,這可能成為最有效和最危險(xiǎn)的攻擊途徑之一。這種攻擊途徑并不是一個(gè)新概念,近年來(lái)如ShadowPad、CCleaner和ShadowHammer等事件表明,只要攻擊者下定決心,就能進(jìn)入受保護(hù)最嚴(yán)密的網(wǎng)絡(luò)。然而,最近的 Crowdstrike 事件表明了供應(yīng)鏈的重要性,以及一旦出錯(cuò)將造成的空前規(guī)模的影響,從而對(duì)供應(yīng)鏈的脆弱性和我們今天對(duì)供應(yīng)鏈的依賴性提出了新的問(wèn)題。




Crowdstrike——地球停轉(zhuǎn)之日



從世界協(xié)調(diào)時(shí)間2024 年 7 月 19 日(星期五)04:09 開始,持續(xù)大約兩到三天,全球經(jīng)濟(jì)陷入停滯,原因是 CrowdStrike 發(fā)布了一次內(nèi)容配置更新。CrowdStrike 是一家美國(guó)網(wǎng)絡(luò)安全公司,是少數(shù)幾家獲得 Windows 操作系統(tǒng)內(nèi)核權(quán)限的公司之一。





Crowdstrike 的配置更新應(yīng)該是一項(xiàng)常規(guī)操作,是對(duì)其 Falcon 平臺(tái)保護(hù)機(jī)制的定期更新,以獲取遙測(cè)數(shù)據(jù)并檢測(cè)Windows平臺(tái)可能出現(xiàn)的新威脅技術(shù)。不幸的是,這次更新導(dǎo)致全球超過(guò) 850 萬(wàn)臺(tái) Windows 機(jī)器陷入無(wú)限重啟循環(huán)。


據(jù)媒體報(bào)道,包括醫(yī)院、銀行、航空公司等關(guān)鍵基礎(chǔ)設(shè)施,以及美國(guó)宇航局、聯(lián)邦貿(mào)易委員會(huì)、國(guó)家核安全管理局、緊急情況 911 呼叫中心、菲律賓政府網(wǎng)站等關(guān)鍵政府基礎(chǔ)設(shè)施,其系統(tǒng)運(yùn)行 Windows 并受到 Crowdstrike 的保護(hù),都受到錯(cuò)誤更新的影響,無(wú)法正常運(yùn)營(yíng)。目前,這可以被認(rèn)為是歷史上最嚴(yán)重的停機(jī)事件,造成了前所未有的經(jīng)濟(jì)損失。


受影響的系統(tǒng)包括在 2024 年 7 月 19 日(世界協(xié)調(diào)時(shí))星期五 04:09 至 2024 年 7 月 19 日(世界協(xié)調(diào)時(shí))星期五 05:27 期間在線并收到更新的運(yùn)行 7.11 及以上版本傳感器的 Windows 主機(jī)。Mac和Linux主機(jī)未受影響。最終,這種情況并非由任何高級(jí)持續(xù)性威脅 (APT) 引起,而是由一個(gè)錯(cuò)誤的軟件更新引起的,其展示了完美執(zhí)行的供應(yīng)鏈攻擊可能帶來(lái)的后果。不過(guò),這并不是第一次供應(yīng)鏈故障事件,因?yàn)橹耙舶l(fā)生過(guò)類似事件,如在一次復(fù)雜的行動(dòng)中,Linux XZ 庫(kù)遭到入侵。




Linux XZ ——披著羊皮的狼被揭露



2024年初,Linux XZ Utils項(xiàng)目,一組免費(fèi)的數(shù)據(jù)壓縮命令行工具和庫(kù),被發(fā)現(xiàn)遭受了供應(yīng)鏈性質(zhì)的攻擊。該攻擊是一個(gè)高度復(fù)雜和精密的后門,它被巧妙地混淆和隱藏,巧妙地隱藏并篡改了OpenSSH的邏輯,OpenSSH是Secure Shell(SSH)協(xié)議的一個(gè)實(shí)現(xiàn),從而實(shí)現(xiàn)未經(jīng)授權(quán)的訪問(wèn)。SSH 也是一種加密網(wǎng)絡(luò)協(xié)議的名稱,用于安全地操作設(shè)備,包括企業(yè)服務(wù)器、物聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)路由器、網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備等。


目前,數(shù)以千萬(wàn)計(jì)的物聯(lián)網(wǎng)(IoT)家用電器、數(shù)百萬(wàn)臺(tái)服務(wù)器、數(shù)據(jù)中心和網(wǎng)絡(luò)設(shè)備依賴于SSH,這可能導(dǎo)致一場(chǎng)災(zāi)難,其規(guī)模將遠(yuǎn)超CrowdStrike事件。開源軟件公司 紅毛(Red Hat )指出,這一事件在 NIST 國(guó)家漏洞數(shù)據(jù)庫(kù)中被編號(hào)為 CVE-2024-30942,其最高嚴(yán)重程度評(píng)分為 10,承認(rèn)其可能被惡意威脅行為者利用。


取證分析表明,這些提交是由一名用戶名為 JiaT75(又名 "Jia Cheong Tan")的 GitHub 用戶操作的,該用戶從 2021 年開始加入 XZ Utils 項(xiàng)目團(tuán)隊(duì)并為 XZ 項(xiàng)目做出貢獻(xiàn)。JiaT75的身份尚不確定,因?yàn)榭赡艽嬖诙鄠€(gè)威脅行為者共用一個(gè)賬戶的情況,盡管已知該賬戶使用新加坡的VPN并在UTC+8時(shí)區(qū)操作。


就像披著羊皮的狼一樣,JiaT75通過(guò)與項(xiàng)目其他貢獻(xiàn)者社交并提供積極貢獻(xiàn),逐漸建立了信任,最終獲得了維護(hù)XZ項(xiàng)目檔案的控制權(quán),并獲得了合并提交的權(quán)限。人們發(fā)現(xiàn)XZ/libzma構(gòu)建被修改,并被一系列復(fù)雜的混淆手段所掩蓋,成為某些操作系統(tǒng)上SSH的依賴項(xiàng),實(shí)質(zhì)上允許對(duì)受感染系統(tǒng)進(jìn)行無(wú)限制的訪問(wèn)。


幸運(yùn)的是,這一事件被及時(shí)發(fā)現(xiàn),目前研究仍在進(jìn)行中,但它突出表明,社會(huì)工程學(xué)與開源軟件的特性相結(jié)合,仍然是供應(yīng)鏈攻擊的另一個(gè)可行途徑。





威脅形勢(shì)預(yù)示著人工智能一體化的未來(lái)會(huì)怎樣?



人工智能正越來(lái)越多地融入社會(huì),其應(yīng)用領(lǐng)域包括優(yōu)化智慧城市的基礎(chǔ)設(shè)施、提升醫(yī)療、教育、農(nóng)業(yè)等。與任何技術(shù)一樣,人工智能并非無(wú)懈可擊,它依賴于學(xué)習(xí)模型和訓(xùn)練來(lái)獲得有意義的輸入,而這些輸入可能受到供應(yīng)鏈攻擊,被注入惡意內(nèi)容。