Attaques de la chaîne d’approvisionnement logicielle : dois-je m’inquiéter ?

La technologie logicielle a évolué, et les pirates informatiques ont évolué avec elle. La course aux armements contre les mauvais acteurs s’est principalement limitée aux vulnérabilités et aux attaques dirigées contre les logiciels déployés. Attaquer la chaîne d’approvisionnement en logiciels, bien que non invisible, n’était pas la cible principale des méchants…

L’attaque que beaucoup ont considérée comme le début d’un changement dans le mode opératoire des menaces persistantes avancées (APT) était la Attaque SolarWinds. Ce n'est pas le premier, mais avec un tel impact qu'il a fait la une des journaux et a pris d'assaut ITsec.

Exemples : SolarWinds, Codecov, Kaseya

SolarWinds est un éditeur de logiciels majeur qui fournit des outils de surveillance des réseaux et des infrastructures. L'un des produits de la société est Orion, une plateforme de surveillance et de gestion des infrastructures. Il est utilisé par plus de 30,000 XNUMX organisations publiques et privées pour gérer leurs ressources informatiques. Orion accède aux systèmes informatiques pour obtenir des données de journaux et de performances du système.

En décembre 2019, des pirates ont accédé aux réseaux, systèmes et données de milliers de clients SolarWinds. Ils ont attaqué sa chaîne d’approvisionnement en logiciels en insérant du code malveillant dans la plateforme. Par la suite, SolarWinds a livré le malware de porte dérobée sous forme de mise à jour du logiciel Orion, à laquelle les pirates pouvaient accéder et usurper l'identité des utilisateurs et des comptes des organisations victimes. La faille SolarWinds a supposé un éveil en matière de cybersécurité pour toutes les organisations opérant dans le monde cloud natif.

Cette attaque de la chaîne d’approvisionnement a été suivie par d’autres comme Codecov, un outil de couverture de code logiciel. En janvier 2021, un l'attaquant a extrait un identifiant stocké par erreur dans l'image Docker de Codecov, que l'acteur a utilisée pour modifier un script de téléchargement dans l'outil. L'acteur vient d'insérer une seule ligne de code qui envoyait toutes les variables d'environnement du CI au serveur contrôlé par l'attaquant lors de l'exécution du script. Pendant des mois, les acteurs malveillants ont obtenu un accès potentiel aux systèmes utilisant le script Codecov modifié.

Plus tard, le 2 juillet 2021, le attaque contre Kaseya s'est produit. Sa plateforme VSA est utilisée par de nombreux MSP qui fournissent des services informatiques à d'autres entreprises pour effectuer la gestion des correctifs et la surveillance des clients. Les pirates ont attaqué la chaîne d'approvisionnement de Kaseya VSA, compromettant son infrastructure et publiant ensuite des mises à jour malveillantes sur les serveurs locaux de VSA pour infecter les systèmes des sociétés gérées, cryptant leurs données et exigeant une rançon. Ransomware via un outil cheval de Troie utilisé par les MSP sur leurs sociétés gérées, qui sont les cibles finales. Que c'est intelligent!

Depuis l'incident de SolarWinds, les attaques contre la chaîne d'approvisionnement en logiciels se sont multipliées, affectant l'image et l'économie d'entreprises telles que Samsung, Uber, Nissan, Nvidia, entre autres. Selon Gartner, « d’ici 2025, 45 % des organisations dans le monde auront subi des attaques contre leurs chaînes d’approvisionnement logicielles, soit un triplement depuis 2021 ».

Une nouvelle génération d'attaques contre la chaîne d'approvisionnement logicielle

Attaquer les applications propriétaires ou les environnements de production d'une entreprise ne fait qu'une seule victime. De plus, la grande majorité des entreprises ont déjà mis en œuvre des protections AppSec comme AST. SCA ou outils WAF, a conduit à l'émergence d'une nouvelle génération d'attaquants visant le développement de logiciels pipeline. Les attaques contre la chaîne d’approvisionnement peuvent toucher des milliers d’entreprises avec une seule attaque simple : l’amplificateur idéal.

L'infrastructure de développement est une cible facile pour les attaquants. Sa large surface d'attaque permet d'accéder à l'environnement de production et à ses données. L'infrastructure complète des outils DevOps : référentiels, systèmes de gestion du contrôle de source, outils de build, outils de déploiement, modèles d'infrastructure en tant que code (IaC), conteneurs, fichiers de scripts, etc., est relativement vaste et vulnérable. De plus, tous ces outils sont hors du contrôle de la sécurité et sont gérés par les équipes de développement et de production. Les pirates informatiques le savent et exploitent ces faiblesses.

La nouvelle cible

Les développeurs écrivent souvent des secrets dans le code source, tels que des informations d'identification et des clés à tester pendant le développement. Ceux-ci sont stockés dans des fichiers souvent sous contrôle de version et peuvent être trouvés par des attaquants à l'avenir, même si les fichiers ou les secrets sont supprimés. Cela permettra aux attaquants d’installer des portes dérobées, de lire le code source, d’insérer du code malveillant, d’extraire des données sensibles, etc… Une fois que les acteurs malveillants auront valide login informations d'identification qu'ils peuvent déplacer latéralement à travers le SDLCCes informations d’identification leur permettent de passer à d’autres outils et d’obtenir des privilèges d’utilisateur avancés pour rechercher des informations de plus grande valeur.

Les pirates peuvent utiliser des informations d'identification pour violer le SDLC, mais ils peuvent également pénétrer dans des référentiels ou des outils mal configurés ou non sécurisés, mettant ainsi en danger les systèmes et les données.

Les attaques ciblent également les packages open source. Nous connaissons tous des histoires d’horreur sur des attaques exploitant des vulnérabilités connues, telles que Log4j. D’un autre côté, les attaques contre la chaîne d’approvisionnement sont différentes : les attaquants injectent du code malveillant dans des packages open source populaires pour une utilisation ultérieure dans le processus de création par de nombreuses organisations dans le monde.

En bref : les pirates peuvent exploiter l’accès privilégié, les mauvaises configurations et les vulnérabilités du système. CI/CD pipeline infrastructure comme vecteur pour insérer des logiciels malveillants dans un logiciel qui pourrait être utilisé par beaucoup.

Comment protéger notre SDLC des attaques contre la chaîne d'approvisionnement de logiciels ?

Le nombre d’attaques sur la chaîne d’approvisionnement augmente régulièrement et le marché réagit à ce scénario. Certaines organisations ont établi des cadres pour répondre software supply chain security, comme le NIST Secure Software Development Framework (SSDF) et les niveaux de chaîne d'approvisionnement pour les artefacts logiciels (SLSA) de Google. Cependant, peu d’entreprises accordent la priorité à la protection des outils et de l’infrastructure DevOps afin d’éviter les attaques sur leur chaîne d’approvisionnement. En fait, 82 % des DSI pensent qu'ils y seront vulnérables.

Les entreprises ne doivent pas seulement se soucier de la protection de leurs applications, mais également de l’infrastructure logicielle et des artefacts qui font partie de leurs SDLC Les acteurs malveillants ciblent la chaîne d'approvisionnement. L'étendue de la surface d'attaque, le manque de sensibilisation des équipes de développement à ce type d'attaque et l'absence d'outils de sécurité spécialisés permettent aux attaquants de se concentrer sur la chaîne d'approvisionnement logicielle.