Новости: Новые атаки на цепочку поставок
 
30.04.2021

Новые атаки на цепочку поставок

Новые атаки на цепочку поставок Новые атаки на цепочку поставок

Начало 2021 года продолжает «радовать» нас кейсами атак на цепочку поставок – Suply Chain Attack. Злоумышленники явно распробовали этот путь массового взлома и активно его эксплуатируют. Так, в апреле раскрылось еще как минимум два инцидента: 

  • Взлом инструмента для разработки ПО Codecov Bash Uploader.

  • Компрометация ПО для управления паролями PasswordState компании Click Studios.

Основная сложность атаки такого типа – это ее обнаружение, а риск – то, что заражение происходит для условно доверенного ПО, имеющего внутри организации определенные допуски, что чревато крупными утечками, массовой компрометацией данных для авторизации и аутентификации и другими деструктивными последствиями.

Взлом инструмента Codecov Bash Uploader повлек за собой утечку секретов и учетных данных множества организаций во всем мире. При этом на его обнаружение ушло более 3 месяцев, и произошло оно благодаря сравнению одним из пользователей инструмента и обнаружению разницы между обозначенной на ресурсе GitHub и фактической после загрузки пакета хэш-суммой. 

Проведенное разработчиками расследование показало, что благодаря ошибке в используемом Codecov процессе создания Docker образа, злоумышленники смогли получить учетные данные, достаточные для изменения скрипта Bash Uploader. И далее злоумышленники с 31 января 2021 г. прибегали к периодическому доступу и изменению Bash Uploader скрипта, что позволяло им потенциально экспортировать информацию, хранящуюся в средах непрерывной интеграции (CI) наших пользователей. 

Получаемая информация отправлялась на сторонний сервер за пределами инфраструктуры Codecov. Bash Uploader также используется в данных связанных загрузчиков: загрузчик Codecov-actions для Github, Codecov CircleCl Orb и Codecov Bitrise Step. Таким образом это событие также повлияло и на связанные загрузчики.

Измененная версия скрипта Bash Uploader потенциально может повлиять на:

  • Любые учетные данные, токены или ключи, которые наши клиенты передают через свой сервер CI, которые доступны при выполнении сценария Bash Uploader. 

  • Любые службы, хранилища данных и коды приложений, к которым можно получить доступ с помощью этих учетных данных, токенов или ключей. 

  • Удаленная информация git репозиториев (URL-адрес исходного репозитория), использующих Bash Uploader для загрузки покрытия (coverage) в Codecov в CI.

Компрометация клиентов Click Studios произошла через подмену обновления Passwordstate_upgrade.zip и таким образом установки зараженной версии ПО Passwordstate. После подмены хакеры получают доступ ко всем сохраненным в менеджере паролям и возможность дальнейшего контроля ПО и вредоносной активности.

Рекомендации

«Риски атак на цепочку поставок всегда существовали, но были сложны в реальной оценке. Теперь благодаря целой череде наглядных кейсов мы можем наблюдать массовый характер деструктивности последствий этого типа атак и реальность их рисков», – объясняет Анна Михайлова, менеджер по развитию бизнеса группы компаний Angara. 

Тем, кто непосредственно пострадал от конкретно этих компрометаций рекомендуется:

  • Немедленно перевыпустить и изменить все свои учетные данные, токены или ключи, расположенные в переменных среды в их процессах CI, которые использовали Bash Uploader от Codecov. Или учетные данные в инструменте Passwordstate. Инструкция по выявлению потенциально затронутых Bash Uploader учетных данных размещена на ресурсе разработчика: https://about.codecov.io/security-update/.

  • Заменить скомпрометированное ПО на исправленную версию.

  • Осуществлять контроль хэш-сумм для интегрируемых внешних пакетов и зависимостей.

Для системного повышения информационной безопасности процесса разработки и микросервисной архитектуры эксперты группы компаний Angara рекомендуют использование инструментов мониторинга и аудита контейнерной инфраструктуры, микросервисов и их зависимостей, интегрированных в ваши инструменты и окружение DevOps. Они в том числе выполняют:

  • Сканирование и мониторинг целостности образа контейнера и защита популярных частных и облачных реестров, в том числе в зависимости от конкретной реализации решения, это: Docker Trusted Registry,  Amazon Elastic Container Registry, Azure Container Registry, Google container Registry.

  • Поиск и обнаружение вредоносных программ и уязвимостей образов, выявление проблем соответствия, с графическим отображением всех параметров на панелях мониторинга, ведением журналов и выводом уведомлений.

  • Защита среды выполнения контейнера, мониторинг концепции неизменности контейнера, защита ОС материнского хоста, решение проблем оркестровки.

  • Непрерывная защита с постоянными обновлениями индикаторов компрометации. 

Эксперты группы компаний Angara рекомендуют следующие решения в части защиты контейнерных реализаций:

  • Palo Alto Twistlock, 

  • Trend Micro Smart Check.

Другие новости

Присоединиться к #AngaraTeam!