ב-29 במרץ 2024, זוהתה דלת אחורית ב-XZ Utils, חבילת תוכנה נפוצה במערכות הפעלה לינוקס.
התפתחות זו הובילה את סוכנות הסייבר והתשתיות של ארה"ב (CISA) לפרסם אזהרה , הממליצה למשתמשים להחזיר את XZ Utils לגרסה מאובטחת, כגון XZ Utils 5.4.6 Stable, וניתן להפנות אליה ב- CVE-2024-3094, המסבירה כי קוד זדוני קיים בגרסאות 5.6.0/5.6.1 של חבילת XZ Utils ויכול לגרום לעקיפת אימות SSH.
מכיוון שחבילה זו נמצאת בשימוש כה נפוץ, מקיימת אינטראקציה עם חבילות תוכנה אחרות, וניתן לנצל אותה על ידי מישהו בעל כוונות זדוניות, גילויה מייצג קריאה לפעולה עבור ארגונים רבים, כפי שנעשה בעבר עבור אירוע תעשייתי נרחב דומה כמו Log4j.
האם CVE זה משפיע OPSWAT פעולות?
לאחר סקירה מקיפה של OPSWAT השימוש של במערכות הפעלה לינוקס ובחבילות המותקנות עליהן, OPSWAT יכול לאשר שלא OPSWAT מערכות מכילות גרסה 5.6.0 או 5.6.1 של חבילת XZ Utils.
האם CVE זה משפיע OPSWAT מוצרים ושירותים?
OPSWAT ביצעה גם סקירה יסודית של המוצרים שפיתחנו ותלות התוכנה שלהם. כתוצאה מכך, OPSWAT יכולה לאשר כי היא אינה כוללת את XZ Utils 5.6.0 או 5.6.1 במוצרים או בשירותים שהיא מציעה.
בהתחשב במחויבותנו לאבטחה, רצינו להבטיח שנעביר עדכון ביעילות עם הגעתנו להערכתנו המוקדמת ביותר.
אם יש לכם שאלות או חששות, אל תהססו לפנות אלינו ישירות דרך כל אחד מערוצי התמיכה שלנו.
