Ataques à cadeia de suprimentos de software: devo me preocupar?

A tecnologia de software evoluiu e os hackers evoluíram com ela. A corrida armamentista com maus atores restringiu-se principalmente a vulnerabilidades e ataques direcionados ao software implantado. Atacar a cadeia de fornecimento de software, embora não fosse invisível, não era o alvo principal dos bandidos…

O ataque considerado por muitos como o início de uma mudança no modus operandi das Ameaças Persistentes Avançadas (APTs) foi o Ataque SolarWinds. Não foi o primeiro, mas com tamanho impacto que ganhou as manchetes e conquistou a ITsec.

Exemplos: SolarWinds, Codecov, Kaseya

A SolarWinds é uma importante fornecedora de software que fornece ferramentas para monitoramento de rede e infraestrutura. Um dos produtos da empresa é o Orion, uma plataforma de monitoramento e gerenciamento de infraestrutura. Ele é utilizado por mais de 30,000 organizações públicas e privadas para gerenciar seus recursos de TI. O Orion acessa sistemas de TI para obter dados de log e desempenho do sistema.

Em dezembro de 2019, hackers acessaram redes, sistemas e dados de milhares de clientes da SolarWinds. Eles atacaram sua cadeia de fornecimento de software inserindo código malicioso na plataforma. Posteriormente, a SolarWinds entregou o malware backdoor como uma atualização do software Orion, que os hackers podiam acessar e se passar por usuários e contas das organizações vítimas. A violação da SolarWinds supôs um despertar da segurança cibernética para todas as organizações que operam no mundo nativo da nuvem.

Este ataque à cadeia de abastecimento foi seguido por outros, como o Codecov, uma ferramenta de cobertura de código de software. Em janeiro de 2021, um invasor extraiu uma credencial armazenado por engano na imagem Docker do Codecov, que o ator usou para modificar um script de upload na ferramenta. O ator apenas inseriu uma única linha de código que enviou todas as variáveis ​​de ambiente do CI para o servidor controlado pelo invasor quando o script foi executado. Durante meses, os malfeitores obtiveram acesso potencial a sistemas que usavam o script Codecov modificado.

Mais tarde, em 2 de julho de 2021, o ataque a Kaseya ocorreu. Sua plataforma VSA é usada por muitos MSPs que fornecem serviços de TI a outras empresas para realizar gerenciamento de patches e monitoramento de clientes. Os hackers atacaram a cadeia de fornecimento da Kaseya VSA, comprometendo a sua infraestrutura e subsequentemente lançando atualizações maliciosas nos servidores locais da VSA para infectar os sistemas das empresas geridas, encriptando os seus dados e exigindo um resgate. Ransomware por meio de uma ferramenta trojanizada usada por MSPs em suas empresas gerenciadas, que são os alvos finais. Que esperto!

Desde o incidente da SolarWinds, têm havido cada vez mais ataques contra a cadeia de fornecimento de software, impactando a imagem e a economia de empresas como Samsung, Uber, Nissan, Nvidia, entre muitas outras. De acordo com o Gartner, “até 2025, 45% das organizações em todo o mundo terão sofrido ataques nas suas cadeias de fornecimento de software, um aumento três vezes maior desde 2021”.

Uma nova geração de ataques à cadeia de suprimentos de software

Atacar os aplicativos proprietários ou ambientes de produção de uma empresa gera apenas uma única vítima. Isso, somado ao fato de que a grande maioria das empresas já implementou proteções AppSec como AST, SCA ou ferramentas WAF, levou ao surgimento de uma nova geração de atacantes visando o desenvolvimento de software pipeline. Os ataques à cadeia de suprimentos podem afetar milhares de empresas com apenas um ataque simples: o amplificador ideal.

A infraestrutura de desenvolvimento é um alvo fácil para invasores. Sua ampla superfície de ataque fornece acesso ao ambiente de produção e seus dados. Toda a infraestrutura de ferramentas DevOps: repositórios, sistemas de gerenciamento de controle de origem, ferramentas de build, ferramentas de implantação, modelos de Infraestrutura como Código, contêineres, arquivos de script, etc., é bastante grande e vulnerável. Além disso, todas essas ferramentas estão longe do controle da área de segurança e são gerenciadas pelas equipes de desenvolvimento e produção. Os hackers sabem disso e se aproveitam dessas vulnerabilidades.

O novo alvo

Freqüentemente, os desenvolvedores escrevem segredos no código-fonte, como credenciais e chaves, para testes durante o desenvolvimento. Eles são armazenados em arquivos geralmente sob controle de versão e podem ser encontrados por invasores no futuro, mesmo que os arquivos ou segredos sejam removidos. Isso permitirá que os invasores instalem backdoors, leiam o código-fonte, insiram código malicioso, extraiam dados confidenciais, etc. Conecte-se credenciais que eles podem mover lateralmente através do SDLC. Essas credenciais permitem que eles migrem para outras ferramentas e obtenham privilégios de usuário avançados para pesquisar informações de maior valor.

Os hackers podem usar credenciais para violar a SDLC, mas também podem invadir repositórios ou ferramentas configuradas incorretamente ou deixadas inseguras, o que coloca sistemas e dados em risco.

Os ataques também têm como alvo pacotes de código aberto. Todos nós conhecemos histórias horríveis sobre ataques que exploram vulnerabilidades conhecidas, como o Log4j. Por outro lado, os ataques à cadeia de abastecimento são diferentes: os atacantes injetam código malicioso em pacotes populares de código aberto para utilização posterior no processo de construção por muitas organizações em todo o mundo.

Em resumo: os hackers podem explorar acesso privilegiado, configurações incorretas e vulnerabilidades no CI/CD pipeline infraestrutura como vetor para inserir malware em um software que poderia ser usado por muitos.

Como proteger nossos SDLC de ataques à cadeia de suprimentos de software?

O número de ataques à cadeia de abastecimento está a crescer constantemente e o mercado está a reagir a este cenário. Algumas organizações estabeleceram estruturas para abordar software supply chain security, como o NIST Secure Software Development Framework (SSDF) e os Supply Chain Levels for Software Artifacts (SLSA) do Google. No entanto, não há muitas empresas que priorizem a proteção das ferramentas e infraestruturas DevOps para evitar ataques à sua cadeia de abastecimento. Na verdade, 82% dos CIOs acham que ficarão vulneráveis ​​a eles.

As empresas não devem se preocupar apenas em proteger seus aplicativos, mas também a infraestrutura de software e os artefatos que fazem parte de seus SDLC como atores ruins estão mirando a cadeia de suprimentos. A amplitude da superfície de ataque, a falta de conscientização por parte das equipes de desenvolvimento sobre esse tipo de ataque e a falta de ferramentas de segurança especializadas estão permitindo que os invasores se concentrem na cadeia de suprimentos de software.