هجمات سلسلة توريد البرمجيات: هل يجب أن أقلق؟

تطورت تكنولوجيا البرمجيات، وتطور معها القراصنة. وكان سباق التسلح مع الجهات الفاعلة السيئة يقتصر في الغالب على نقاط الضعف والهجمات الموجهة إلى البرامج المنشورة. إن مهاجمة سلسلة توريد البرمجيات، وإن لم تكن غير مرئية، لم تكن الهدف الرئيسي للأشرار…

كان الهجوم الذي تناوله الكثيرون بداية التحول في طريقة عمل التهديدات المستمرة المتقدمة (APTs) هو الهجوم هجوم SolarWinds. لم تكن الأولى، ولكن مع هذا التأثير الذي تصدر عناوين الأخبار وأحدث ثورة في تكنولوجيا المعلومات.

أمثلة: SolarWinds، Codecov، Kasya

تعد شركة SolarWinds أحد موردي البرامج الرئيسيين الذين يوفرون أدوات لمراقبة الشبكة والبنية التحتية. أحد منتجات الشركة هو Orion، وهي منصة لمراقبة وإدارة البنية التحتية. يتم استخدامه من قبل أكثر من 30,000 مؤسسة عامة وخاصة لإدارة موارد تكنولوجيا المعلومات الخاصة بها. يصل Orion إلى أنظمة تكنولوجيا المعلومات للحصول على بيانات السجل وأداء النظام.

في ديسمبر 2019، تمكن المتسللون من الوصول إلى الشبكات والأنظمة والبيانات الخاصة بالآلاف من عملاء SolarWinds. لقد هاجموا سلسلة توريد البرامج الخاصة بها وقاموا بإدخال تعليمات برمجية ضارة في النظام الأساسي. بعد ذلك، قامت شركة SolarWinds بتسليم البرنامج الخبيث الخلفي كتحديث لبرنامج Orion، والذي يمكن للمتسللين الوصول إليه وانتحال هوية المستخدمين وحسابات المنظمات الضحية. من المفترض أن يكون خرق SolarWinds بمثابة صحوة للأمن السيبراني لجميع المؤسسات العاملة في عالم السحابة الأصلي.

أعقب هذا الهجوم على سلسلة التوريد هجمات أخرى مثل Codecov، وهي أداة لتغطية التعليمات البرمجية البرمجية. في يناير 2021، أ قام المهاجم باستخراج بيانات الاعتماد تم تخزينها عن طريق الخطأ في صورة Codecov's Docker، والتي استخدمها الممثل لتعديل البرنامج النصي للتحميل في الأداة. قام الممثل للتو بإدخال سطر واحد من التعليمات البرمجية الذي أرسل جميع متغيرات بيئة CI إلى الخادم الذي يتحكم فيه المهاجم عند تنفيذ البرنامج النصي. لعدة أشهر، تمكن المتسللون السيئون من الوصول إلى الأنظمة التي تستخدم نص Codecov المعدل.

وفي وقت لاحق، في 2 يوليو 2021، تم الهجوم على كاسيا حصل. يتم استخدام منصة VSA الخاصة بها من قبل العديد من مقدمي خدمات MSP الذين يقدمون خدمات تكنولوجيا المعلومات لشركات أخرى لإجراء إدارة التصحيح ومراقبة العملاء. هاجم المتسللون سلسلة التوريد الخاصة بشركة Kaseya VSA، مما أدى إلى تعريض بنيتها التحتية للخطر ثم أطلقوا بعد ذلك تحديثات ضارة على خوادم VSA المحلية لإصابة أنظمة الشركات المُدارة وتشفير بياناتهم والمطالبة بفدية. برامج الفدية عبر أداة حصان طروادة التي يستخدمها مقدمو خدمات MSP في الشركات التي يديرونها، والتي تمثل الأهداف النهائية. كم هو ذكي!

منذ حادثة SolarWinds، كان هناك المزيد والمزيد من الهجمات ضد سلسلة توريد البرمجيات، مما أثر على صورة واقتصاديات شركات مثل Samsung وUber وNissan وNvidia وغيرها الكثير. وفقًا لمؤسسة جارتنر، "بحلول عام 2025، ستتعرض 45% من المؤسسات في جميع أنحاء العالم لهجمات على سلاسل توريد البرمجيات الخاصة بها، وهي زيادة بمقدار ثلاثة أضعاف منذ عام 2021".

جيل جديد من هجمات سلسلة توريد البرمجيات

إن مهاجمة التطبيقات الخاصة بالشركة أو بيئات الإنتاج لا تُنتج سوى ضحية واحدة. هذا، بالإضافة إلى أن الغالبية العظمى من الشركات قد طبقت بالفعل حماية AppSec مثل AST، SCA أو أدوات WAF، مما أدى إلى ظهور جيل جديد من المهاجمين الذين يستهدفون تطوير البرمجيات pipeline. يمكن أن تؤثر هجمات سلسلة التوريد على آلاف الشركات بهجوم بسيط واحد فقط: مكبر الصوت المثالي.

تُعدّ البنية التحتية للتطوير هدفًا سهلًا للمهاجمين. فمساحة الهجوم الواسعة تُتيح الوصول إلى بيئة الإنتاج وبياناتها. البنية التحتية الكاملة لأدوات DevOps: المستودعات، وأنظمة إدارة التحكم في المصادر، وأدوات البناء، وأدوات النشر، وقوالب البنية التحتية ككود، والحاويات، وملفات البرامج النصية، وغيرها، كبيرة الحجم وعرضة للاختراق. علاوة على ذلك، فإن جميع هذه الأدوات بعيدة عن سيطرة مجال الأمن، وتديرها فرق التطوير والإنتاج. يدرك المخترقون ذلك ويستغلون نقاط الضعف هذه.

الهدف الجديد

غالبًا ما يكتب المطورون أسرارًا في الكود المصدري مثل بيانات الاعتماد والمفاتيح للاختبار أثناء التطوير. ويتم تخزينها في ملفات غالبًا تحت التحكم في الإصدار، ويمكن للمهاجمين العثور عليها في المستقبل، حتى لو تمت إزالة الملفات أو الأسرار. سيسمح هذا للمهاجمين بتثبيت أبواب خلفية، وقراءة التعليمات البرمجية المصدر، وإدراج تعليمات برمجية ضارة، واستخراج البيانات الحساسة، وما إلى ذلك... بمجرد حصول الجهات الضارة على صلاحية login يمكنهم نقل بيانات الاعتماد أفقيًا من خلال SDLCتسمح لهم هذه بيانات الاعتماد بالانتقال إلى أدوات أخرى والحصول على امتيازات مستخدم متقدمة للبحث عن معلومات ذات قيمة أعلى.

يمكن للمتسللين استخدام بيانات الاعتماد لاختراق SDLCولكن يمكنهم أيضًا اختراق مستودعات أو أدوات تم تكوينها بشكل غير دقيق أو تركت غير آمنة، مما يعرض الأنظمة والبيانات للخطر.

تستهدف الهجمات أيضًا الحزم مفتوحة المصدر. نعلم جميعًا قصصًا مرعبة عن الهجمات التي تستغل نقاط الضعف المعروفة، مثل Log4j. من ناحية أخرى، تختلف هجمات سلسلة التوريد: حيث يقوم المهاجمون بحقن تعليمات برمجية ضارة في حزم شائعة مفتوحة المصدر لاستخدامها لاحقًا في عملية الإنشاء من قبل العديد من المؤسسات في العالم.

باختصار: يمكن للمتسللين استغلال الوصول المتميز والتكوينات الخاطئة والثغرات الأمنية في CI/CD pipeline البنية التحتية كناقل لإدخال برامج ضارة في البرامج التي يمكن أن يستخدمها الكثيرون.

كيفية حماية أنفسنا SDLC من هجمات سلسلة توريد البرمجيات؟

يتزايد عدد الهجمات على سلسلة التوريد بشكل مطرد، ويتفاعل السوق مع هذا السيناريو. وقد وضعت بعض المنظمات أطرا لمعالجة software supply chain security، مثل NIST Secure Software Development Framework (SSDF) ومستويات سلسلة التوريد الخاصة بـ Google لعناصر البرامج (SLSA). ومع ذلك، لا توجد العديد من الشركات التي تجعل حماية أدوات DevOps والبنية التحتية لها أولوية لتجنب الهجمات على سلسلة التوريد الخاصة بها. في الحقيقة، ويعتقد 82% من مديري تكنولوجيا المعلومات أنهم سيكونون عرضة لهذه المخاطر.

لا ينبغي للشركات أن تقلق بشأن حماية تطبيقاتها فحسب، بل أيضًا بشأن البنية التحتية للبرمجيات والتحف الفنية التي تشكل جزءًا منها. SDLC مع استهداف الجهات الخبيثة لسلسلة التوريد، يُركز المهاجمون جهودهم على سلسلة توريد البرمجيات. إن اتساع نطاق الهجمات، وقلة وعي فرق التطوير بهذا النوع من الهجمات، ونقص أدوات الأمن المتخصصة، كلها عوامل تُمكّن المهاجمين من التركيز على سلسلة توريد البرمجيات.