350K Open-Source Projects At Risk of Supply Chain Vulnerability
2022/09/21 InfoSecurity — Trellix が設立を発表した Advanced Research Center は、最新のサイバー・セキュリティ脅威を検出/対応/修復するための、リアルタイムのインテリジェンスと脅威指標の作成を目的とするものだ。Trellix の最高製品責任者である Aparna Rayasam は、「脅威の状況は、洗練され、影響を与える可能性が拡大している。我々は、デジタルと物理的な世界で全ての人々を安全にするために、この事業に取り組んでいる。脅威アクターたちは、人材と技術的ノウハウに戦略的に投資している。したがって、サイバー・セキュリティ業界は、最も好戦的な行為者とその手法を研究し、より速い速度で革新していく義務がある」と述べている。
そして、Trellix Advanced Research Center の設立と同時に、脆弱性 CVE-2007-4559 に関する研究結果も発表された。この脆弱性は、およそ 35万件のオープンソース・プロジェクトと、いくつかのクローズドソース・プロジェクトに存在すると推定される。
この脆弱性は Python の tarfile モジュールに存在し、Python を使用するすべてのプロジェクトに自動的にインストールされる。Netflix/AWS/Intel/Facebook/Google が作成したフレームワークや、機械学習/自動化/Docker コンテナ化などに使われるアプリケーションなどで、頻繁に見受けられるという。
Trellix の解説によると、数行のコードで生成された悪意のファイルをアップロードすることで、この脆弱性の悪用は達成され、その後に、攻撃者は任意のコード実行が可能になるという。
Trellix の Head of Adversarial and Vulnerability Research である Christiaan Beek は、「サプライ・チェーンの脅威といえば、SolarWinds のインシデントのような、サイバー攻撃を指すことが多い。しかし、脆弱なコード基盤の上に構築されたサプライ・チェーンも、同様に深刻な影響を与える可能性がある。この脆弱性の蔓延は、業界のチュートリアルやオンラインの資料により、その誤った使用法が広まっていることにより助長されている。 過去の攻撃対象領域が再現されないようにするためには、テクノロジー・スタックの全レイヤーについて、開発者に教育を施すことが重要だ」と説明している。
さらに、開発者に提供される Python のようなオープンソースのツールは、コンピューティングとイノベーションを進めるために必要であるが、既知の脆弱性から保護するためにも、業界からの協力に大きく依存していると、同社は述べている。
そのため、Trellix は、この脆弱性からオープンソース・プロジェクトを保護するために、GitHub のプルリクエストを通じてコードをプッシュするという、新たなアーキテクチャの導入に取り組んでいるという。
また、同社は、「開発者のアプリケーションについて、自身で脆弱性の有無をチェックするための無料ツールは、Trellix Advanced Research Center の GitHub で公開されている」と述べている。
Python ベースのアプリケーションが精査されるようになったのは、今回が初めてのことではない。9月初旬の SentinelLabs と Checkmarx による共同勧告では、JuiceLedger と呼ばれる脅威アクターが、Python Package Index (PyPI) ユーザーを標的とした初のフィッシング・キャンペーンに関係しているとされている。
オープンソース・プロジェクトの脆弱性と、そこから始まるサプライ・チェーン攻撃は、とても深刻な問題であり、文中の「既知の脆弱性から保護するためにも、業界からの協力に大きく依存している」という発言には大賛成です。先ほどの「オープンソース・リポジトリへの攻撃が3年間で 700% 増加:サプライチェーンの深刻な危機」でも明らかなように、なんらかの支援がないことには、この問題は解決しないと思います。脆弱性 CVE-2007-4559 が、その一例です。Trellix が設立した Advanced Research Center には、頑張って欲しいです。
IoT OT Security News 
You must be logged in to post a comment.