Начало 2021 года продолжает «радовать» нас кейсами атак на цепочку поставок – Suply Chain Attack. Злоумышленники явно распробовали этот путь массового взлома и активно его эксплуатируют. Так, в апреле раскрылось еще как минимум два инцидента: 

  • Взлом инструмента для разработки ПО Codecov Bash Uploader.

  • Компрометация ПО для управления паролями PasswordState компании Click Studios.

Основная сложность атаки такого типа – это ее обнаружение, а риск – то, что заражение происходит для условно доверенного ПО, имеющего внутри организации определенные допуски, что чревато крупными утечками, массовой компрометацией данных для авторизации и аутентификации и другими деструктивными последствиями.

Взлом инструмента Codecov Bash Uploader повлек за собой утечку секретов и учетных данных множества организаций во всем мире. При этом на его обнаружение ушло более 3 месяцев, и произошло оно благодаря сравнению одним из пользователей инструмента и обнаружению разницы между обозначенной на ресурсе GitHub и фактической после загрузки пакета хэш-суммой. 

Проведенное разработчиками расследование показало, что благодаря ошибке в используемом Codecov процессе создания Docker образа, злоумышленники смогли получить учетные данные, достаточные для изменения скрипта Bash Uploader. И далее злоумышленники с 31 января 2021 г. прибегали к периодическому доступу и изменению Bash Uploader скрипта, что позволяло им потенциально экспортировать информацию, хранящуюся в средах непрерывной интеграции (CI) наших пользователей. 

Получаемая информация отправлялась на сторонний сервер за пределами инфраструктуры Codecov. Bash Uploader также используется в данных связанных загрузчиков: загрузчик Codecov-actions для Github, Codecov CircleCl Orb и Codecov Bitrise Step. Таким образом это событие также повлияло и на связанные загрузчики.

Измененная версия скрипта Bash Uploader потенциально может повлиять на:

  • Любые учетные данные, токены или ключи, которые наши клиенты передают через свой сервер CI, которые доступны при выполнении сценария Bash Uploader. 

  • Любые службы, хранилища данных и коды приложений, к которым можно получить доступ с помощью этих учетных данных, токенов или ключей. 

  • Удаленная информация git репозиториев (URL-адрес исходного репозитория), использующих Bash Uploader для загрузки покрытия (coverage) в Codecov в CI.

Компрометация клиентов Click Studios произошла через подмену обновления Passwordstate_upgrade.zip и таким образом установки зараженной версии ПО Passwordstate. После подмены хакеры получают доступ ко всем сохраненным в менеджере паролям и возможность дальнейшего контроля ПО и вредоносной активности.

Рекомендации

«Риски атак на цепочку поставок всегда существовали, но были сложны в реальной оценке. Теперь благодаря целой череде наглядных кейсов мы можем наблюдать массовый характер деструктивности последствий этого типа атак и реальность их рисков», – объясняет Анна Михайлова, менеджер по развитию бизнеса группы компаний Angara. 

Тем, кто непосредственно пострадал от конкретно этих компрометаций рекомендуется:

  • Немедленно перевыпустить и изменить все свои учетные данные, токены или ключи, расположенные в переменных среды в их процессах CI, которые использовали Bash Uploader от Codecov. Или учетные данные в инструменте Passwordstate. Инструкция по выявлению потенциально затронутых Bash Uploader учетных данных размещена на ресурсе разработчика: https://about.codecov.io/security-update/.

  • Заменить скомпрометированное ПО на исправленную версию.

  • Осуществлять контроль хэш-сумм для интегрируемых внешних пакетов и зависимостей.

Для системного повышения информационной безопасности процесса разработки и микросервисной архитектуры эксперты группы компаний Angara рекомендуют использование инструментов мониторинга и аудита контейнерной инфраструктуры, микросервисов и их зависимостей, интегрированных в ваши инструменты и окружение DevOps. Они в том числе выполняют:

  • Сканирование и мониторинг целостности образа контейнера и защита популярных частных и облачных реестров, в том числе в зависимости от конкретной реализации решения, это: Docker Trusted Registry,  Amazon Elastic Container Registry, Azure Container Registry, Google container Registry.

  • Поиск и обнаружение вредоносных программ и уязвимостей образов, выявление проблем соответствия, с графическим отображением всех параметров на панелях мониторинга, ведением журналов и выводом уведомлений.

  • Защита среды выполнения контейнера, мониторинг концепции неизменности контейнера, защита ОС материнского хоста, решение проблем оркестровки.

  • Непрерывная защита с постоянными обновлениями индикаторов компрометации. 

Эксперты группы компаний Angara рекомендуют следующие решения в части защиты контейнерных реализаций:

  • Palo Alto Twistlock, 

  • Trend Micro Smart Check.