La tecnología del software evolucionó y los piratas informáticos evolucionaron con ella. La carrera armamentista con los malos actores se limitó principalmente a vulnerabilidades y ataques dirigidos al software implementado. Atacar la cadena de suministro de software, aunque no sea invisible, no era el objetivo principal de los malos...
El ataque que muchos abordaron como el comienzo de un cambio en el modus operandi de las amenazas persistentes avanzadas (APT) fue el Ataque SolarWinds. No es el primero, pero tuvo tal impacto que fue noticia y arrasó en ITsec.
Ejemplos: SolarWinds, Codecov, Kaseya
SolarWinds es un importante proveedor de software que proporciona herramientas para el monitoreo de redes e infraestructura. Uno de los productos de la empresa es Orion, una plataforma de gestión y monitoreo de infraestructura. Es utilizado por más de 30,000 organizaciones públicas y privadas para gestionar sus recursos de TI. Orion accede a los sistemas de TI para obtener datos de registro y rendimiento del sistema.
En diciembre de 2019, los piratas informáticos accedieron a las redes, los sistemas y los datos de miles de clientes de SolarWinds. Atacaron su cadena de suministro de software insertando código malicioso en la plataforma. Posteriormente, SolarWinds entregó el malware de puerta trasera como una actualización del software Orion, al que los piratas informáticos podían acceder y hacerse pasar por usuarios y cuentas de las organizaciones víctimas. La violación de SolarWinds supuso un despertar en materia de ciberseguridad para todas las organizaciones que operan en el mundo nativo de la nube.
A este ataque a la cadena de suministro le siguieron otros como Codecov, una herramienta de cobertura de código de software. En enero de 2021, un El atacante extrajo una credencial. almacenado por error en la imagen Docker de Codecov, que el actor usó para modificar un script de carga en la herramienta. El actor simplemente insertó una sola línea de código que envió todas las variables de entorno del CI al servidor controlado por el atacante cuando se ejecutó el script. Durante meses, los malos actores obtuvieron acceso potencial a sistemas que utilizaban el script Codecov modificado.
Posteriormente, el 2 de julio de 2021, el ataque a kaseya ocurrió. Su plataforma VSA es utilizada por muchos MSP que brindan servicios de TI a otras empresas para realizar gestión de parches y monitoreo de clientes. Los piratas informáticos atacaron la cadena de suministro de Kaseya VSA, comprometiendo su infraestructura y posteriormente lanzando actualizaciones maliciosas en los servidores locales de VSA para infectar los sistemas de las empresas administradas, cifrando sus datos y exigiendo un rescate. Ransomware a través de una herramienta troyanizada utilizada por los MSP en sus empresas gestionadas, que son el objetivo final. ¡Qué listo!
Desde el incidente de SolarWinds, cada vez se han producido más ataques contra la cadena de suministro de software, impactando la imagen y la economía de empresas como Samsung, Uber, Nissan, Nvidia, entre muchas otras. Según Gartner, “para 2025, el 45% de las organizaciones de todo el mundo habrán experimentado ataques en sus cadenas de suministro de software, un aumento tres veces mayor desde 2021”.
Una nueva generación de ataques a la cadena de suministro de software
Atacar las aplicaciones propietarias o los entornos de producción de una empresa solo genera una víctima. Esto, sumado al hecho de que la gran mayoría de las empresas ya han implementado protecciones de AppSec como AST, SCA o herramientas WAF, ha dado lugar a la aparición de una nueva generación de atacantes que tienen como objetivo el desarrollo de software. pipeline. Los ataques a la cadena de suministro pueden afectar a miles de empresas con un solo ataque simple: el amplificador ideal.
La infraestructura de desarrollo es un blanco fácil para los atacantes. Su amplia superficie de ataque proporciona acceso al entorno de producción y a sus datos. Toda la infraestructura de herramientas DevOps (repositorios, sistemas de gestión de control de código fuente, herramientas de compilación, herramientas de implementación, plantillas de Infraestructura como Código, contenedores, archivos de scripts, etc.) es bastante grande y vulnerable. Además, todas estas herramientas escapan al control del área de seguridad y son gestionadas por los equipos de desarrollo y producción. Los hackers lo saben y se aprovechan de estas debilidades.
El nuevo objetivo
A menudo, los desarrolladores escriben secretos en el código fuente, como credenciales y claves, para realizar pruebas durante el desarrollo. Estos se almacenan en archivos, a menudo bajo control de versiones, y los atacantes pueden encontrarlos en el futuro, incluso si se eliminan los archivos o los secretos. Esto permitirá a los atacantes instalar puertas traseras, leer el código fuente, insertar código malicioso, extraer datos confidenciales, etc. Una vez que los actores maliciosos tengan acceso a... login credenciales pueden moverse lateralmente a través de la SDLCEstas credenciales les permiten pasar a otras herramientas y obtener privilegios de usuario avanzados para buscar información de mayor valor.
Los piratas informáticos pueden usar credenciales para violar la seguridad SDLC, pero también pueden entrar en repositorios o herramientas mal configurados o inseguros, lo que pone en riesgo los sistemas y los datos.
Los ataques también se dirigen a paquetes de código abierto. Todos conocemos historias de terror sobre ataques que aprovechan vulnerabilidades conocidas, como Log4j. Por otro lado, los ataques a la cadena de suministro son diferentes: los atacantes inyectan código malicioso en paquetes populares de código abierto para su uso posterior en el proceso de construcción por parte de muchas organizaciones en el mundo.
En resumen: los piratas informáticos pueden explotar el acceso privilegiado, las configuraciones erróneas y las vulnerabilidades en el CI/CD pipeline infraestructura como vector para insertar malware en un software que podría ser utilizado por muchos.
Cómo proteger a nuestros SDLC ¿De ataques a la cadena de suministro de software?
El número de ataques a la cadena de suministro crece de manera constante y el mercado está reaccionando a este escenario. Algunas organizaciones han establecido marcos para abordar software supply chain security, como el marco de desarrollo de software seguro (SSDF) del NIST y los niveles de cadena de suministro para artefactos de software (SLSA) de Google. Sin embargo, no son muchas las empresas que tienen como prioridad proteger las herramientas y la infraestructura de DevOps para evitar ataques a su cadena de suministro. De hecho, El 82% de los CIO cree que serán vulnerables a ellos.
Las empresas no solo deben preocuparse por proteger sus aplicaciones, sino también la infraestructura de software y los artefactos que forman parte de ellas. SDLC Los actores maliciosos atacan la cadena de suministro. La amplitud de la superficie de ataque, la falta de conocimiento de los equipos de desarrollo sobre este tipo de ataque y la falta de herramientas de seguridad especializadas permiten que los atacantes se centren en la cadena de suministro de software.
Observaciones finales
Protegiendo nuestra pipeline es cada día más urgente y una prioridad para CISOs, que deben garantizar que los equipos de seguridad presten atención a la cadena de suministro y trabajen junto con los equipos de Devops para proteger SDLC de este tipo de ataque.
Utilizando herramientas que nos ayudan a proteger nuestra SDLCIdentificar puertas traseras, comportamientos sospechosos y detener ataques a la cadena de suministro es necesario para mantener la privacidad y seguridad de nuestro entorno DevOps. Las primeras herramientas para proteger... software supply chain security están empezando a surgir. Algunos están más centrados en el lado de desarrollo y otros en el lado de operaciones. Y algunos, como xygeni, tienen la misión de proteger la integridad y seguridad del ecosistema de software a lo largo de todo DevOps.
Leer más |
|
|
|
|
