Атаки на цепочку поставок программного обеспечения: стоит ли мне беспокоиться?

Технологии программного обеспечения развивались, и вместе с ними развивались хакеры. Гонка вооружений с злоумышленниками в основном ограничивалась уязвимостями и атаками, направленными на развернутое программное обеспечение. Атака на цепочку поставок программного обеспечения, хотя и не была незамеченной, не была основной целью злоумышленников…

Атака, которую многие считали началом изменений в методе работы Advanced Persistent Threats (APT), заключалась в Атака SolarWinds. Не первое, но с таким влиянием, что оно попало в заголовки газет и взяло штурмом ITsec.

Примеры: SolarWinds, Codecov, Kaseya.

SolarWinds — крупный поставщик программного обеспечения, предоставляющий инструменты для мониторинга сети и инфраструктуры. Одним из продуктов компании является Orion, платформа мониторинга и управления инфраструктурой. Его используют более 30,000 XNUMX государственных и частных организаций для управления своими ИТ-ресурсами. Orion обращается к ИТ-системам для получения журналов и данных о производительности системы.

В декабре 2019 года хакеры получили доступ к сетям, системам и данным тысяч клиентов SolarWinds. Они атаковали ее цепочку поставок программного обеспечения, внедрив в платформу вредоносный код. Впоследствии SolarWinds представила вредоносное ПО-бэкдор в качестве обновления программного обеспечения Orion, к которому хакеры могли получить доступ и выдавать себя за пользователей и учетные записи организаций-жертв. Взлом SolarWinds предполагал пробуждение кибербезопасности для всех организаций, работающих в облачном мире.

За этой атакой на цепочку поставок последовали другие, такие как Codecov, инструмент покрытия программного кода. В январе 2021 года злоумышленник получил учетные данные сохранено по ошибке в образе Docker Codecov, который актер использовал для изменения сценария загрузки в инструменте. Злоумышленник просто вставил одну строку кода, которая отправляла все переменные среды CI на сервер, контролируемый злоумышленником, при выполнении сценария. В течение нескольких месяцев злоумышленники получали потенциальный доступ к системам, использующим модифицированный скрипт Codecov.

Позже, 2 июля 2021 года, нападение на Касею произошел. Его платформа VSA используется многими MSP, которые предоставляют ИТ-услуги другим компаниям для управления исправлениями и мониторинга клиентов. Хакеры атаковали цепочку поставок Kaseya VSA, скомпрометировав ее инфраструктуру и впоследствии выпустив вредоносные обновления на локальные серверы VSA для заражения систем управляемых компаний, зашифровав их данные и потребовав выкуп. Программа-вымогатель с помощью троянского инструмента, используемого MSP в управляемых ими компаниях, которые и являются конечными целями. Как умно!

После инцидента с SolarWinds происходит все больше и больше атак на цепочку поставок программного обеспечения, что влияет на имидж и экономику таких компаний, как Samsung, Uber, Nissan, Nvidia и многих других. По данным Gartner, «к 2025 году 45% организаций по всему миру подвергнутся атакам на свои цепочки поставок программного обеспечения, что в три раза больше, чем в 2021 году».

Новое поколение атак на цепочку поставок программного обеспечения

Атака на фирменные приложения или производственные среды компании приводит только к одной жертве. Это, в сочетании с тем фактом, что подавляющее большинство компаний уже внедрили защиту AppSec, такую ​​как AST, SCA или инструменты WAF, привели к появлению нового поколения злоумышленников, нацеленных на разработку программного обеспечения pipeline. Атаки на цепочки поставок могут затронуть тысячи компаний с помощью всего лишь одной простой атаки: идеального усилителя.

Инфраструктура разработки является легкой целью для злоумышленников. Ее большая поверхность атаки обеспечивает доступ к производственной среде и ее данным. Вся инфраструктура инструментов DevOps: репозитории, системы управления исходным кодом, инструменты сборки, инструменты развертывания, шаблоны инфраструктуры как кода, контейнеры, файлы скриптов и т. д. — довольно большая и уязвимая. Более того, все эти инструменты далеки от контроля области безопасности и управляются командами разработки и производства. Хакеры знают это и пользуются этими слабостями.

Новая цель

Часто разработчики записывают в исходный код секреты, такие как учетные данные и ключи для тестирования во время разработки. Они хранятся в файлах, часто находящихся под контролем версий, и могут быть найдены злоумышленниками в будущем, даже если файлы или секреты будут удалены. Это позволит злоумышленникам устанавливать бэкдоры, читать исходный код, вставлять вредоносный код, извлекать конфиденциальные данные и т. д. login полномочия они могут перемещаться горизонтально через SDLC. Эти учетные данные позволяют им переходить к другим инструментам и получать расширенные пользовательские привилегии для поиска более ценной информации.

Хакеры могут использовать учетные данные для взлома SDLC, но они также могут взломать репозитории или инструменты, которые неправильно настроены или остались незащищенными, что подвергает риску системы и данные.

Атаки также нацелены на пакеты с открытым исходным кодом. Мы все знаем ужасные истории об атаках, использующих известные уязвимости, такие как Log4j. С другой стороны, атаки на цепочку поставок различны: злоумышленники внедряют вредоносный код в популярные пакеты с открытым исходным кодом для последующего использования в процессе сборки многими организациями по всему миру.

Короче говоря: хакеры могут использовать привилегированный доступ, неправильные конфигурации и уязвимости в CI/CD pipeline инфраструктура как вектор внедрения вредоносного ПО в программное обеспечение, которое может использоваться многими.

Как защитить наши SDLC от атак на цепочку поставок программного обеспечения?

Число атак на цепочки поставок неуклонно растет, и рынок реагирует на этот сценарий. Некоторые организации создали рамки для решения software supply chain security, например, NIST Secure Software Development Framework (SSDF) и Google’s Supply Chain Levels for Software Artifacts (SLSA). Однако не так уж много компаний уделяют приоритетное внимание защите инструментов и инфраструктуры DevOps, чтобы избежать атак на их цепочку поставок. Фактически, 82% ИТ-директоров считают, что они будут уязвимы перед ними.

Компаниям следует беспокоиться не только о защите своих приложений, но и о программной инфраструктуре и артефактах, которые являются частью их SDLC поскольку злоумышленники нацеливаются на цепочку поставок. Широта поверхности атаки, неосведомленность со стороны команд разработчиков об этом типе атак и отсутствие специализированных инструментов безопасности позволяют злоумышленникам сосредоточиться на цепочке поставок программного обеспечения.