NowościOprogramowanieRTV

Rozwija się nowy rodzaj ataku na łańcuch dostaw o poważnych konsekwencjach

Rozwija się nowy rodzaj ataku na łańcuch dostaw o poważnych konsekwencjach

Getty Images

Nowy rodzaj ataku na łańcuch dostaw ujawniony w zeszłym miesiącu jest wymierzony w coraz więcej firm, a nowe rundy w tym tygodniu mają na celu Microsoft, Amazon, Slack, Lyft, Zillow i nieznaną liczbę innych. W minionych tygodniach Apple, Microsoft, Tesla i 32 inne firmy padły ofiarą podobnego ataku, który umożliwił analitykowi bezpieczeństwa wykonanie nieautoryzowanego kodu w ich sieciach.

Ostatni atak na Microsoft również został przeprowadzony przez badacza jako dowód słuszności koncepcji. Z kolei ataki na Amazon, Slack, Lyft i Zillow były złośliwe, ale nie jest jasne, czy udało im się wykonać złośliwe oprogramowanie w ich sieciach. Tymczasem repozytoria kodu open source npm i PyPi zostały zalane ponad 5000 pakietów proof-of-concept, według Sonatype, firmy, która pomaga klientom zabezpieczyć tworzone przez nich aplikacje.

„Biorąc pod uwagę codzienną liczbę podejrzanych pakietów npm przechwytywanych przez zautomatyzowane systemy wykrywania złośliwego oprogramowania Sonatype, spodziewamy się tylko wzrostu tego trendu, a przeciwnicy nadużywają zamieszania w zależności, aby prowadzić jeszcze bardziej złowrogie działania” – napisał Ax Sharma, badacz Sonatype.

Zręczny atak

Celem tych ataków jest wykonanie nieautoryzowanego kodu w wewnętrznym systemie budowania oprogramowania celu. Technika ta działa poprzez przesyłanie złośliwych pakietów do publicznych repozytoriów kodu i nadanie im nazwy, która jest identyczna z nazwą pakietu przechowywanego w wewnętrznym repozytorium docelowego dewelopera.

Aplikacje do zarządzania oprogramowaniem deweloperów często faworyzują zewnętrzne biblioteki kodu nad wewnętrzne, więc pobierają i używają złośliwego pakietu, a nie zaufanego. Alex Birsan – badacz, który nakłonił Apple i pozostałe 34 firmy do uruchomienia pakietów typu „proof-of-concept”, które przesłał do npm i PyPi – nazwał nowy rodzaj zamieszania w zależności od ataku łańcucha dostaw lub zamieszania przestrzeni nazw, ponieważ opiera się na zależnościach oprogramowania i wprowadzających w błąd nazwy.

Zależności oprogramowania to biblioteki kodu, które aplikacja musi uwzględnić, aby działała. Zwykle programiści ściśle strzegą nazw zależności w swoich systemach kompilacji oprogramowania. Jednak Birsan odkrył, że nazwy często przeciekają, gdy pliki package.json – które zawierają różne metadane istotne dla projektu programistycznego – są osadzane w publicznych plikach skryptów. Wewnętrzne ścieżki i publiczne skrypty, które zawierają wywołanie programowania require (), mogą również przeciekać nazwy zależności.

W przypadku, gdy plik o tej samej nazwie nie jest dostępny w publicznym repozytorium, hakerzy mogą przesłać złośliwy pakiet i nadać mu tę samą nazwę pliku i numer wersji, który jest wyższy niż autentyczny plik przechowywany wewnętrznie. W wielu przypadkach programiści albo przypadkowo wykorzystują złośliwą bibliotekę, albo robią to automatycznie ich kompilowana aplikacja.

„To sprytny atak”, powiedział HD Moore, współzałożyciel i dyrektor generalny platformy wykrywania sieci Rumble. „Domyślam się, że dotyczy to wielu ludzi”. Dodał, że najbardziej zagrożone są organizacje, które używają dużej liczby pakietów wewnętrznych i nie podejmują specjalnych kroków, aby uniemożliwić pakietom publicznym zastąpienie pakietów wewnętrznych.

Deszcz zamieszania

W ciągu tygodni, które upłynęły od opublikowania przez Birsana swoich odkryć, rozkwitły ataki zamieszania w zależności od osób. Microsoft został już dotknięty atakiem typu proof-of-concept, który wykonał nieautoryzowany pakiet Birsana w swojej sieci. Niedawno Microsoft padł ofiarą drugiego ataku, którego dokonali badacze z firmy Contrast Security.

Matt Austin, dyrektor ds. Badań nad bezpieczeństwem w firmie Contrast, powiedział, że zaczął od poszukiwania zależności używanych w aplikacji komputerowej Microsoft Teams. Po znalezieniu pakietu JavaScript o nazwie „Zależności opcjonalne” znalazł sposób na pobranie i uruchomienie pakietu, który umieścił na npm na maszynie programistycznej Teams. Pakiet używał tej samej nazwy, co moduł wymieniony jako opcjonalna zależność.

Wkrótce potem skrypt, który Austin umieścił w module, zaczął kontaktować się z nim z kilku wewnętrznych adresów IP firmy Microsoft. Austin napisał:

Niezależnie od tego, czy odpowiedzi, które widziałem, były automatyczne, czy ręczne, fakt, że byłem w stanie wygenerować tę reakcję, stanowi poważne ryzyko. Korzystając ze skryptu poinstalacyjnego, mogłem wykonać kod w dowolnym środowisku, w którym był instalowany. Gdyby atakujący wykonywał kod w taki sam sposób, jak ja na serwerze kompilacji dla aktualizacji aplikacji komputerowej, która miała zostać rozprowadzona, mogliby wstawić do tej aktualizacji wszystko, co chcieli, i ten kod byłby wysyłany na każdy komputer stacjonarny za pomocą aplikacji Teams – więcej niż 115 milionów maszyn. Taki atak może mieć monumentalne reperkusje, potencjalnie dotykając tyle organizacji, co masowy atak na fabrykę oprogramowania SolarWinds, który został ujawniony w grudniu.

Przedstawił następujący rysunek ilustrujący, jak złośliwy atak może działać w tym teoretycznym scenariuszu:

Bezpieczeństwo kontrastu

Rzeczniczka Microsoftu napisała: „W ramach naszych większych wysiłków na rzecz złagodzenia ataków polegających na zamianie pakietów szybko zidentyfikowaliśmy wspomniany problem i rozwiązaliśmy go, i w żadnym momencie nie stanowił on poważnego zagrożenia bezpieczeństwa dla naszych klientów”. Rzeczniczka dodała, że ​​system wykonujący kod Ausin jest częścią naszej infrastruktury testowania bezpieczeństwa. Microsoft ma więcej informacji na temat zagrożeń i sposobów ich łagodzenia tutaj.

Ataki stają się złośliwe

Podobnie jak w przypadku pakietów przesłanych przez Birsana i Austina, tysiące plików, które zalały npm i PyPi, zawierały w większości nieszkodliwe skrypty, które wysyłają badaczom adres IP i inne ogólne szczegóły komputera, na którym są uruchamiane.

Ale nie wszystkie przesłane filmy zauważyły ​​taką powściągliwość. W poniedziałek badacze Sonatype zgłosili pliki przesłane do npm, które próbowały ukraść skróty haseł i historię skryptów bash z firm, takich jak Amazon, Slack, Lyft, Zillow.

Dostęp do pliku .bash_history jest uzyskiwany przez pakiet przesłany do npm. <br />” src=”https://cdn.arstechnica.net/wp-content/uploads/2021/03/bash-stealing-script-640×399.jpg” width=”640″ height=”399″ /><figcaption class=
Powiększać / Plik .bash_history, do którego uzyskuje dostęp pakiet przesłany do npm.

Sonatype

„Działania te miałyby miejsce, gdy tylko atak polegający na dezorientacji zależności się powiedzie i nie wymagałyby żadnego działania ze strony ofiary, biorąc pod uwagę naturę problemu przejmowania zależności / przestrzeni nazw” – napisał Sharma, badacz z Sonatype.

Historie Bash, które przechowują polecenia i inne dane wejściowe, które administratorzy wpisują na swoich komputerach, często zawierają hasła w postaci zwykłego tekstu i inne poufne dane. Pliki przechowywane w ścieżce / etc / shadow maszyn z systemem Linux przechowują kryptograficzne skróty haseł potrzebnych do uzyskania dostępu do kont użytkowników na komputerze. (Aby uzyskać dostęp do skrótów, aplikacja npm musiałaby działać w trybie superużytkownika, niezwykle podwyższonym zestawie uprawnień, które prawie nigdy nie są nadawane aplikacjom do zarządzania oprogramowaniem).

Sonatype powiedział, że nie ma możliwości dowiedzenia się, czy pliki zostały wykonane przez którąkolwiek z firm, do których skierowane są skrypty.

Cele reagują

W oświadczeniu urzędnicy Slacka napisali:

Omawiana naśladowana biblioteka nie jest częścią produktu Slack ani nie jest utrzymywana ani obsługiwana przez Slack. Nie mamy powodu, aby sądzić, że złośliwe oprogramowanie zostało uruchomione podczas produkcji. Nasz zespół ds. Bezpieczeństwa regularnie skanuje zależności używane w naszym produkcie za pomocą wewnętrznych i zewnętrznych narzędzi, aby zapobiegać tego typu atakom. Ponadto bezpieczne praktyki programistyczne Slacka, takie jak używanie prywatnego zakresu podczas korzystania z prywatnych zależności, sprawiają, że jest mało prawdopodobne, aby atak związany z zależnościami zakończył się sukcesem na nasz produkt.

Oświadczenie Lyft brzmiało: „Lyft nie ucierpiał podczas tej próby. Nic nie wskazuje na to, że to złośliwe oprogramowanie zostało uruchomione w sieci Lyft. Lyft ma dedykowany program bezpieczeństwa informacji, aby chronić się przed takimi atakami na łańcuch dostaw i uruchamia aktywny program wykrywania błędów, aby stale testować swoje mechanizmy bezpieczeństwa ”.

Urzędnicy Zillow napisali:

Wiemy o niedawnym raporcie dotyczącym bezpieczeństwa, dotyczącym możliwego ataku z wykorzystaniem sfałszowanych pakietów oprogramowania. Po dochodzeniu przeprowadzonym przez nasz zespół ds. Bezpieczeństwa nie znaleźliśmy żadnych dowodów na to, że nasze systemy zostały naruszone lub wykorzystane przez ujawnioną technikę. Nasz zespół podejmuje również szereg działań w celu monitorowania i obrony przed wszelkimi możliwymi przyszłymi próbami uzyskania nieautoryzowanego dostępu do naszych systemów.

W międzyczasie przedstawiciele npm napisali: „W tym poście przedstawiliśmy wskazówki, jak najlepiej chronić się przed tego typu atakami polegającymi na zamianie. Dokładamy wszelkich starań, aby zapewnić bezpieczeństwo npm i nadal poprawiać bezpieczeństwo ekosystemu ”.

Przedstawiciele Amazon nie odpowiedzieli na e-mail z prośbą o komentarz. Przedstawiciel PyPi nie od razu skomentował.

Niedawny włamanie do dostawcy narzędzi sieciowych Solar Winds – który naruszył system kompilacji oprogramowania firmy z Teksasu i wykorzystał go do dystrybucji złośliwych aktualizacji wśród 18 000 klientów – stanowczo przypomniał o szkodach, jakie mogą wyniknąć z ataków po stronie podaży. Ataki polegające na pomyleniu zależności mogą wyrządzić jeszcze więcej szkód, chyba że programiści zastosują środki ostrożności.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook