Het open-source-ecosysteem is een hoeksteen van moderne softwareontwikkeling en bevordert innovatie en samenwerking. De openheid ervan maakt het echter gevoelig voor verschillende cyberdreigingen. Volgens een rapport van ComparitechIn 2023 werden meer dan 100 miljoen soorten malware en potentieel ongewenste applicaties (PUA's) geïdentificeerd, wat aantoont dat malware-gerelateerde aanvallen een ernstige cyberdreiging blijven.
Nieuwe malwarefamilies in open source-pakketten
Installatie-sabotage-malware
Hoe ze werken: Dit type malware knoeit met het installatieproces van open-sourcepakketten. Het injecteert kwaadaardige code tijdens de installatie van het pakket, die vervolgens kan worden uitgevoerd wanneer het pakket wordt gebruikt.
Kwetsbaarheden uitgebuit: Installeren-Saboteren malware maakt misbruik van het vertrouwen dat gebruikers hebben plaats in open-source repository's en het ontbreken van rigoureuze veiligheidscontroles tijdens het installatieproces van pakketten.
Beschermingsstrategieën: Ter bescherming tegen manipulatie van malware bij het installeren is het van cruciaal belang om geverifieerde en ondertekende pakketten te gebruiken, tweefactorauthenticatie voor repository-accounts in te schakelen en regelmatig beveiligingsaudits van afhankelijkheden uit te voeren.
Voorbeeld van schadelijke code bij installatiemanipulatie: npm-pakket “kleuren” (2022)
Beschrijving:
Het “colors”-pakket is een populaire npm-bibliotheek die wordt gebruikt voor het toevoegen van kleureffecten aan consolelogboeken. Het wordt veel gebruikt in verschillende Node.js-applicaties.
Hoe het werkte:
Begin 2022 verschijnt een versie van de "kleuren" pakket is op kwaadaardige wijze aangepast en bevat nu een script met een oneindige lus in het hoofdbestand. Deze wijziging werd aangebracht door de projectbeheerder zelf, die dit naar verluidt deed als protest tegen het bedrijfsgebruik van open-sourceprojecten zonder adequate steun of donaties.
Impact:
Deze wijziging zorgde ervoor dat elke applicatie die de gecompromitteerde versie van “kleuren” gebruikte, crashte, wat leidde tot wijdverspreide verstoringen bij talloze bedrijven en softwaresystemen die voor hun activiteiten afhankelijk waren van het pakket.
Les geleerd:
Dit incident onderstreept de kwetsbaarheden die inherent zijn aan het op vertrouwen gebaseerde model van open-source pakketbeheer. Het benadrukt de noodzaak voor beheerders om ethische standards en voor gebruikers om grondige beoordelingen en tests van afhankelijkheden van derden in hun ontwikkelomgevingen uit te voeren. De zaak "kleuren" benadrukt ook het belang van het ondersteunen van open-sourcebeheerders om burn-out en onethische vergeldingsmaatregelen te voorkomen.
Achterdeur voor eerste gebruik
Hoe ze werken: Deze achterdeur wordt geactiveerd wanneer een open-sourcepakket voor de eerste keer wordt geïmporteerd en gebruikt. Het kan systeeminformatie naar een externe server sturen of extra payloads downloaden.
Kwetsbaarheden uitgebuit: First-Use Backdoors profiteren van de uitvoering van niet-geverifieerde code bij het eerste gebruik van een pakket, waarbij vaak statische analysehulpmiddelen worden omzeild.
Beschermingsstrategieën: Het beoordelen en monitoren van de code van nieuw geïmporteerde pakketten en het gebruik van dynamische analysetools om ongewoon gedrag te detecteren zijn de sleutel tot verdediging tegen First-Use Backdoors.
Voorbeeld van een achterdeur voor het eerste gebruik: Webmin-achterdeurincident (2019)
Beschrijving:
Webmin is een populaire webgebaseerde interface voor systeembeheer voor Unix. In 2019, Er werd ontdekt dat de software was gecompromitteerd met een achterdeur die al meer dan een jaar in de code aanwezig waren voordat ze werden ontdekt.
Hoe het werkte:
De achterdeur werd in het geheim in de Webmin GitHub-repository geïntroduceerd via een gecompromitteerde buildserver. De kwaadaardige code was alleen actief als de beheerder het wachtwoord veranderde via de Webmin-interface. Eenmaal geactiveerd, was het mogelijk om opdrachten op afstand uit te voeren met rootrechten.
Impact:
De achterdeur werd geleverd met Webmin-versies van 1.882 tot 1.921 en had mogelijk gevolgen voor meer dan drie miljoen websites en servers. De achterdeur stelde systemen open voor aanvallers op afstand die mogelijk volledige controle over de server konden krijgen, wat leidde tot gegevensdiefstal, serverkaping en verdere netwerkcompromis.
Les geleerd:
Dit incident benadrukt de kritieke kwetsbaarheid die kan optreden wanneer bouwprocessen in gevaar komen. Het onderstreept het belang van het beveiligen van build-servers en het uitvoeren van regelmatige beveiligingsaudits van de levenscyclus van softwareontwikkeling. De Webmin-zaak toont ook de noodzaak aan van een grondige controle van software-updates, zelfs als deze afkomstig zijn van vertrouwde bronnen.
Runtime-compromisworm
Hoe ze werken: Deze worm sluimert in een open-sourcepakket en wordt tijdens runtime geactiveerd en verspreidt zich mogelijk naar andere pakketten en systemen.
Kwetsbaarheden uitgebuit: Runtime-Compromise-wormen maken misbruik van de onderling verbonden aard van open-sourceprojecten waarbij het ene gecompromitteerde pakket gevolgen kan hebben voor andere.
Beschermingsstrategieën: Het implementeren van strikte systemen voor het monitoren van runtimegedrag en het detecteren van afwijkingen kan dergelijke bedreigingen helpen identificeren en beperken.
Voorbeeld van runtime-compromis P2PInfect: de roestige peer-to-peer zelfreplicerende worm
Beschrijving:
P2PInfect is een peer-to-peer (P2P) worm die is ontdekt door cloudonderzoekers van Unit 42.
Deze worm is geschreven in Rust, een zeer schaalbare en cloudvriendelijke programmeertaal, en is in staat om platformonafhankelijke infecties te veroorzaken en richt zich op Redis, een populaire open-source databasetoepassing die veel wordt gebruikt in cloudomgevingen.
Hoe werkt het:
Initiële exploitatie:
- P2PInfect maakt misbruik van de Lua-sandbox-ontsnappingskwetsbaarheid, CVE-2022-0543, in kwetsbare Redis-instanties.
- Door het beveiligingslek kan de worm willekeurige code uitvoeren binnen de Lua-scriptomgeving.
Levering van lading:
- Zodra de initiële toegang is verkregen, laat P2PInfect een initiële payload vallen die P2P-communicatie met een groter netwerk tot stand brengt.
- De worm haalt vervolgens aanvullende kwaadaardige binaire bestanden tevoorschijn, waaronder besturingssysteemspecifieke scripts en scansoftware.
Voortplanting:
- De geïnfecteerde Redis-instantie sluit zich aan bij het P2P-netwerk en biedt toegang tot andere payloads voor toekomstige gecompromitteerde Redis-instanties.
- P2PInfect richt zich op zowel Linux- als Windows-besturingssystemen, waardoor het schaalbaarder en krachtiger is dan andere wormen.
Impact:
Onderzoekers van Unit 42 identificeerden meer dan 307,000 unieke Redis-systemen die de afgelopen twee weken publiekelijk communiceerden, waarvan er 934 mogelijk kwetsbaar zijn voor deze P2P-wormvariant.
P2PInfect dient als voorbeeld van een ernstige aanval die actoren zouden kunnen uitvoeren met behulp van dit beveiligingslek.
Les geleerd:
Ontwikkelaars moeten hun pakketten beoordelen en verifiëren, afhankelijkheden up-to-date houden en voorzichtig zijn met pakketnamen en bronnen.
Waakzaamheid en voortdurende monitoring zijn essentieel om dergelijke aanvallen op de toeleveringsketen te voorkomen.
Afhankelijkheidsketenaanval
Hoe ze werken: Aanvallers compromitteren één pakket in een afhankelijkheidsketen, wat vervolgens alle andere pakketten beïnvloedt die ervan afhankelijk zijn.
Kwetsbaarheden uitgebuit: Deze aanval maakt misbruik van het vertrouwen in pakketafhankelijkheden en het trapsgewijze effect van één gecompromitteerd pakket.
Beschermingsstrategieën: Door een softwarecompositieanalysetool te gebruiken om open-sourcecomponenten en hun afhankelijkheden te volgen en beheren, kunt u uzelf beschermen tegen Dependency-Chain-aanvallen.
Voorbeeld van een afhankelijkheidsketenaanval npm-pakket “event-stream” (2018): een compromis in de toeleveringsketen
Beschrijving:
In 2018 werd het populaire npm-pakket genaamd “gebeurtenisstroom” was gecompromitteerd.
De aanval omvatte manipulatie van de afhankelijkheidsketen die nietsvermoedende gebruikers trof.
Hoe het werkte:
Aanvankelijk compromis:
- De aanvaller nam een minder gebruikte afhankelijkheid over, genaamd ‘flatmap-stream’.
- Ze injecteerden kwaadaardige code in ‘flatmap-stream’.
Voortplanting:
- De gecompromitteerde ‘flatmap-stream’ werd als afhankelijkheid opgenomen in het veelgebruikte pakket ‘event-stream’.
- Veel projecten installeerden onbewust het gecompromitteerde ‘event-stream’-pakket.
Impact:
De aanvaller heeft toegang gekregen tot gevoelige informatie van nietsvermoedende gebruikers.
Het incident bracht de risico's van supply chain-aanvallen via afhankelijkheden aan het licht.
Les geleerd:
Ontwikkelaars moeten hun pakketten beoordelen en verifiëren, afhankelijkheden up-to-date houden en voorzichtig zijn met pakketnamen en bronnen.
Waakzaamheid en voortdurende monitoring zijn essentieel om dergelijke aanvallen op de toeleveringsketen te voorkomen.
Bescherm uw open source-projecten met Xygeni
Zoals besproken is het open-source-ecosysteem een tweesnijdend zwaard: terwijl het innovatie bevordert, stelt het uw software ook bloot aan aanzienlijke risico's, zoals installeer sabotage malware, First-Use Backdoors en Dependency-Chain Attacks. De gevolgen van deze bedreigingen zijn ernstig en het beschermen van uw software supply chain is cruciaal.
Xygeni biedt krachtige oplossingen die zijn ontworpen om uw open-sourceprojecten te verdedigen tegen deze evoluerende bedreigingen. Onze tools zorgen ervoor dat uw afhankelijkheden veilig blijven, waardoor uw software veerkrachtig blijft en uw ontwikkelingsproces soepel verloopt.
Maak slimmer Decisionen met uitgebreide pakketanalyse
Gezien de complexiteit van open-sourcepakketten is het maken van weloverwogen keuzes van cruciaal belang. Xygeni's Volledige pakketanalyse stelt u in staat om de beveiliging van open-sourcecomponenten snel te evalueren. Met ons platform kunt u vol vertrouwen veilige en betrouwbare pakketten selecteren, waarbij u de risico's van onveilige afhankelijkheden vermijdt. Door slimme decisDoor vooraf te investeren, bouwt u sterkere en veiligere applicaties die de tand des tijds kunnen doorstaan.
Verdedig proactief met realtime malwaredetectie
Reageren op bedreigingen nadat ze uw systeem zijn binnengedrongen, is niet genoeg. Daarom biedt Xygeni Realtime malwaredetectie om bedreigingen zoals zero-day-malware te onderscheppen zodra ze opduiken. Ons systeem blokkeert direct schadelijke code, waardoor deze nooit uw ontwikkelomgeving kan bereiken. Door snel te handelen, zorgt u ervoor dat uw projecten vanaf het begin veilig blijven.
Beveilig uw toeleveringsketen met continue monitoring
In de snelle wereld van softwareontwikkeling vinden er voortdurend veranderingen plaats. Xygeni's Continue monitoring van de toeleveringsketen houdt elke update nauwlettend in de gaten. Onze proactieve bescherming detecteert en blokkeert verdachte wijzigingen in uw afhankelijkheden, waardoor wordt voorkomen dat gecompromitteerde pakketten uw projecten binnenkomen. Met Xygeni onderhoudt u een veilige en betrouwbare toeleveringsketen, waarmee u uw software beschermt tegen potentiële bedreigingen.
Neem de controle over uw beveiliging met Xygeni
Zoals u hebt gezien, zijn de risico's in open-source software reëel en groeien ze. De beveiligingsoplossingen van Xygeni geven u de tools om deze risico's effectief te beheren. Door u te richten op vroege detectie, uitgebreide pakketanalyse en continue monitoring, kunt u uw software beschermen tegen opkomende bedreigingen. Laat uw open-source projecten niet kwetsbaar: verbeter uw beveiligingsstrategie vandaag nog met Xygeni en krijg gemoedsrust in de wetenschap dat uw software en gegevens veilig zijn.
Bent u klaar om uw open-sourceprojecten te beveiligen? Blijf met Xygeni bedreigingen voor en ontwikkel robuuste software die alles aankan wat er op u afkomt.
Bekijk onze videodemo
