Dalış Özeti:
- Siber Güvenlik ve Altyapı Güvenliği Ajansı, XZ Utils’e yönelik kötü niyetli bir tedarik zinciri saldırısı başlatma girişiminin ardından açık kaynak topluluğuna daha fazla kaynak sağlamak için baskı yapıyor. Cuma günü yayınlanan blog yazısı.
- CISA, saldırı girişiminin, açık kaynak tüketicilerinin daha dayanıklı ve güvenli bir ekosistem oluşturmak için katkıda bulunanlarla çalışma biçiminde temel bir değişiklik gerektirdiğini ve açık kaynak topluluğunu daha iyi destekleme sorumluluğunu teknoloji endüstrisine yüklediğini söyledi.
- Kıdemli teknik danışman Jack Cable ve bölüm şefi Aeva Black, “Tasarımla Güvenli Girişimimiz doğrultusunda, güvenlik yükü bireysel bir açık kaynak bakımcısının üzerine düşmemelidir – bu durumda neredeyse felaket etkisi yaratacak şekilde” dedi. Blog yazısında CISA’da açık kaynak yazılım güvenliğinin önemi belirtildi. “Bunun yerine, açık kaynak yazılım tüketen şirketlerin, açık kaynak projelerinin tükenmişliğe karşı dayanıklı, sağlıklı ve çeşitli bakımcı topluluklarına sahip olduğu sürdürülebilir bir ekosistem sağlamak için finansal olarak veya geliştirici zamanı yoluyla katkıda bulunması gerekir.”
Dalış Bilgisi:
Güvenlik araştırmacıları, XZ Utils’e yönelik tedarik zinciri saldırısı girişiminin, açık kaynak topluluğuna yüklenen yük hakkında derin soruları gündeme getirdiğini söyledi. Açık kaynak katkıda bulunanlar uzun süredir çok az mali tazminatla veya hiç mali tazminat ödemeden çalışıyorlar ve onların katkılarından büyük ölçüde yararlanan büyük, zengin teknoloji firmalarından çok az kaynak alıyorlar.
şüpheli tehdit aktörü, Araştırmacılara göre, Github hesabı @JiaT75’e bağlı olan bu cihaz, açık kaynak topluluğu içinde güven oluşturmak için yıllarını harcadı ve tükenmişlik ve diğer sorunlar yaşayan bir bakımcı tarafından ek erişim sağlandı.
Açık Kaynak Güvenliği Vakfı ve Açık JS Vakfı Pazartesi günü yayınlanan bir blog yazısında, XZ Utils’e yönelik saldırı girişiminin münferit bir olay olmayabileceği ve topluluğa karşı başka sosyal mühendislik girişimleri olabileceği konusunda uyardı.
Open JS Vakfı Çapraz Proje Konseyi, popüler bir JavaScript projesinde değişiklik yapmalarını ve e-postaları gönderenleri yeni bakımcılar olarak atamalarını isteyen bir dizi şüpheli e-posta aldı.
Talepler, XZ Utils’in sosyal mühendislik girişimleri sırasında yapılan girişimlerle bir takım benzerlikler taşıyor.
Sonatype kurucu ortağı ve CTO’su Brian Fox, e-posta yoluyla şunları söyledi: “Geçen haftanın büyük bölümünde bu girişimin ayrıntılarını ve ilgili eylemleri araştırıyorduk.” “Dolayısıyla ayrıntılar henüz kamuya açıklanmasa da projelerin, vakıfların ve bakımcıların ekstra dikkatli olması önemlidir. Gözlemlediğimiz teknik ve taktikler, XZ’de meydana gelen yüksek baskı kampanyasıyla neredeyse aynı.”