A szoftverfejlesztési folyamatok „szabad hatótávolságú” hozzáférést biztosítanak a kiberbűnözők számára a felhőhöz, on-Prem

A kutatók szerint a folyamatos integrációs/folyamatos fejlesztési (CI/CD) csővezetékek jelenthetik a legveszélyesebb potenciális támadási felületet a szoftverellátási láncban, miközben a kibertámadások fokozzák érdeklődésüket a gyengeségek felkutatása iránt.

A támadási felület is növekszik: a CI/CD csővezetékek egyre inkább a vállalati szoftverfejlesztő csapatok beépített elemei, amelyek automatizált folyamatok segítségével kódot építenek, tesztelnek és telepítenek. De a túlzott engedélyezés, a hálózati szegmentáció hiánya, valamint a rossz titkok és javítások kezelése megnehezíti a megvalósításukat, és lehetőséget kínál a bűnözőknek arra, hogy kompromittálja őket, hogy szabadon mozoghassanak a helyszíni és a felhőkörnyezet között.

A Black Hat USA-ban augusztus 10-én, szerdán Iain Smart és Viktor Gazdag, az NCC Group biztonsági tanácsadó cégtől lép színpadra a „RCE-as-a-Service: 5 év valós CI/CD-csővezeték-kompromisszum tanulságai”, hogy megvitassák azokat a sikeres ellátási lánc támadásokat, amelyeket a termelési CI/CD csővezetékeken hajtottak végre a cég által szinte minden tesztelt vállalatnál.

Az NCC Group több tucat sikeres célkompromisszumot felügyelt, a kisvállalkozásoktól a Fortune 500-as cégekig. Továbbá biztonsági hibák, a kutatók szerint az automatizált folyamatok tervezett funkcióival való újszerű visszaélések lehetővé tették számukra, hogy egy egyszerű fejlesztői segédprogramból a csővezetékeket szolgáltatásként távoli kódvégrehajtássá (RCE) alakítsák át.

„Remélem, hogy az emberek még jobban szeretik a CI/CD-folyamatokat, és alkalmazzák az összes vagy legalább egy vagy két ajánlást a munkamenetünkből” – mondja Gazdag. "Reméljük azt is, hogy ez további biztonsági kutatásokat indít a témában."

Tara Seals, a Dark Reading hírek ügyvezető szerkesztője leült Viktor Gazdaghoz, az NCC Group vezető biztonsági tanácsadójához, hogy többet megtudjon.

Tara pecsétek: Melyek a CI/CD csővezetékek leggyakoribb biztonsági gyengeségei, és hogyan lehet ezekkel visszaélni?

Gazdag Viktor: Rendszeresen három gyakori biztonsági hiányossággal találkozunk, amelyek nagyobb figyelmet igényelnek:

1) A Version Control System (VCS) vagy a Source Control Management (SCM) keménykódolt hitelesítő adatai.

Ide tartoznak a shell szkriptek, bejelentkezési fájlok, a kóddal azonos helyen tárolt konfigurációs fájlokban lévő merevkódolt hitelesítő adatok (nem külön vagy titkos kezelési alkalmazásokban). Gyakran találunk hozzáférési tokeneket különböző felhőkörnyezetekhez (fejlesztés, termelés) vagy a felhőn belüli bizonyos szolgáltatásokhoz, mint például az SNS, Database, EC2 stb.

Továbbra is találunk hitelesítő adatokat a támogató infrastruktúra vagy a CI/CD folyamat eléréséhez. Miután a támadó hozzáfér a felhőkörnyezethez, felsorolhatja jogosultságait, keresheti a hibás konfigurációkat, vagy megpróbálhatja növelni jogosultságait, mivel már a felhőben vannak. A CI/CD-folyamathoz való hozzáféréssel láthatják az összeállítási előzményeket, hozzáférhetnek a felhasznált műtermékekhez és titkokhoz (például a SAST eszközhöz és a sebezhetőségekről vagy felhőalapú hozzáférési jogkivonatokról szóló jelentései), és a legrosszabb esetben is, tetszőleges kódot (backdoor, SolarWinds) szúrhat be a lefordítandó alkalmazásba, vagy teljes hozzáférést kaphat az éles környezethez.

2) Túlzottan megengedő szerepek.

A fejlesztők vagy a szolgáltatásfiókok gyakran olyan szerepkörrel rendelkeznek a fiókjukhoz (vagy feltételezhetnek egyet), amely több jogosultsággal rendelkezik, mint amennyi a szükséges feladat elvégzéséhez szükséges.

Több funkcióhoz is hozzáférhetnek, mint például a rendszer konfigurálása vagy a termelési és fejlesztői környezetre kiterjedő titkok. Lehetséges, hogy megkerülhetik a biztonsági ellenőrzéseket, például a más fejlesztők jóváhagyását, vagy módosíthatják a folyamatot, és eltávolíthatnak minden olyan SAST-eszközt, amely segít a sebezhetőségek keresésében.

Mivel a csővezetékek hozzáférhetnek a termelési és teszttelepítési környezetekhez, ha nincs közöttük szegmentáció, akkor hídként működhetnek a környezetek között, még az on-prem és a felhő között is. Ez lehetővé teszi a támadó számára, hogy megkerülje a tűzfalakat vagy bármilyen riasztást, és szabadon mozoghasson a környezetek között, amely egyébként nem lenne lehetséges.

3) Az audit, a monitoring és a riasztás hiánya.

Ez a leginkább elhanyagolt terület, és az esetek 90%-ában azt tapasztaltuk, hogy hiányzik a figyelés és a riasztás bármilyen konfigurációmódosítással vagy felhasználó/szerepkör-kezeléssel kapcsolatban, még akkor is, ha az auditálás be volt kapcsolva vagy engedélyezve. Az egyetlen dolog, amit lehet figyelni, az a sikeres vagy sikertelen munkaösszeállítás vagy -építés.

Vannak gyakoribb biztonsági problémák is, mint például a hálózati szegmentáció hiánya, a titkos kezelés és a javítások kezelése stb., de ez a három példa a támadások kiindulópontja, amelyek szükségesek az átlagos incidens észlelési idő csökkentéséhez, vagy fontosak a korlátozáshoz. támadás robbanás sugara.

TS: Van konkrét valós példája vagy konkrét forgatókönyve, amelyre rá tud mutatni?

VG: A hírekben a CI/CD vagy pipeline támadásokhoz kapcsolódó néhány támadás a következők:

CCleaner támadás, Március 2018
Homebrew, 2018. augusztus
Asus ShadowHammer, Március 2019
CircleCI harmadik fél általi megsértése, 2019. szeptember
SolarWinds, December 2020
Codecov bash feltöltő szkriptje, 2021. április
A TravisCI jogosulatlan hozzáférése a titkokhoz, 2021. szeptember

TS: Miért jelentenek problémát az automatizált csővezetékek gyengeségei? Hogyan jellemezné a vállalatok kockázatát?

VG: A csővezeték lépéseiben több száz eszközt lehet használni, és emiatt óriási tudás, amit valakinek tudnia kell. Ezen túlmenően a csővezetékek több környezethez is hálózati hozzáféréssel rendelkeznek, és többféle hitelesítési adattal rendelkeznek a különböző eszközökhöz és környezetekhez. A csővezetékekhez való hozzáférés olyan, mint egy ingyenes utazási engedély, amellyel a támadók hozzáférhetnek a csővezetékhez kapcsolódó bármely más eszközhöz vagy környezethez.

TS: Milyen támadások érhetik a vállalatokat, ha egy ellenfél sikeresen felforgatja a CI/CD-csővezetéket?

VG: A támadás eredménye lehet forráskód vagy intellektuális adatok ellopása, több ezer ügyfélnél telepített alkalmazás (például a SolarWinds) háttérbejáratása, hozzáférés (és szabad mozgás) többféle környezethez, például fejlesztési és termelési környezethez, akár helyszíni, akár felhő, vagy mindkettő.

TS: Mennyire kell kifinomultnak lenniük az ellenfeleknek, hogy kompromittáljanak egy csővezetéket?

VG: Amit a Black Haten bemutatunk, az nem nulladik napi sebezhetőség (annak ellenére, hogy találtam néhány sebezhetőséget különböző eszközökben), vagy bármilyen új technikát. A bûnözõk adathalászattal (munkamenet-eltérítés, többtényezõs hitelesítés megkerülése, hitelesítési adatok ellopása) vagy közvetlenül a CI/CD-folyamat segítségével támadhatják meg a fejlesztõket, ha az nem védett és az internetre néz.

Az NCC Group még biztonsági értékeléseket is végzett, ahol kezdetben webalkalmazásokat teszteltünk. Azt tapasztaltuk, hogy a CI/CD csővezetékeket ritkán naplózzák és figyelik riasztással, kivéve a szoftverkészítési/fordítási munkát, így a bűnözőknek nem kell olyan óvatosnak vagy kifinomultnak lenniük, hogy kompromittáljanak egy csővezetéket.

TS: Mennyire gyakoriak az ilyen típusú támadások, és milyen széles támadási felületet képviselnek a CI/CD csővezetékek?

VG: Mint említettük, a hírekben több példa is van valós támadásokra. És továbbra is találhat pl. Jenkins-példányok Shodannal az interneten. Az SaaS segítségével a bûnözõk felsorolhatják és megpróbálhatják brutálisan kikényszeríteni a jelszavakat, hogy hozzáférhessenek, mivel alapértelmezés szerint nincs engedélyezve a többtényezõs hitelesítés vagy az IP-korlátozás, és az internetre néznek.

Távoli munkával a csővezetékeket még nehezebb biztosítani, mivel a fejlesztők bárhonnan és bármikor hozzáférést szeretnének elérni, és az IP-korlátozások már nem feltétlenül valósíthatók meg, mivel a vállalatok a zéró bizalmi hálózatok felé haladnak, vagy változó hálózati helyük van.

A csővezetékek általában több környezethez rendelkeznek hálózati hozzáféréssel (amit nem szabadna), és több hitelesítő adathoz is hozzáférhetnek a különböző eszközök és környezetek számára. Hídként működhetnek az on-prem és a felhő, illetve a termelési és tesztrendszerek között. Ez nagyon széles támadási felület lehet, és több helyről is érkezhetnek támadások, még olyanokról is, amelyeknek semmi közük magához a csővezetékhez. A Black Hatnél két olyan forgatókönyvet mutatunk be, ahol eredetileg a webalkalmazások tesztelésével indultunk.

TS: Miért maradnak a CI/CD csővezetékek biztonsági vakfolt a vállalatok számára?

VG: Leginkább időhiány, olykor emberhiány, esetenként tudáshiány miatt. A CI/CD-folyamatokat gyakran fejlesztők vagy IT-csapatok hozzák létre korlátozott idővel, és a sebességre és a szállításra összpontosítanak, vagy a fejlesztők egyszerűen túlterheltek a munkával.

A CI/CD-folyamatok lehetnek nagyon vagy rendkívül összetettek, és több száz eszközt tartalmazhatnak, több környezettel és titkokkal kölcsönhatásba léphetnek, és több ember használhatja. Vannak, akik egy periódusos táblázatot is létrehoztak a folyamatban használható eszközökről.

Ha egy vállalat időt szán arra, hogy fenyegetési modellt hozzon létre az általa használt folyamathoz és a támogató környezetekhez, akkor látni fogja a kapcsolatot a környezetek, a határok és a titkok között, valamint azt, hogy hol történhetnek a támadások. A fenyegetési modell létrehozását és folyamatos frissítését meg kell tenni, és ez időbe telik.

TS: Melyek a bevált módszerek a csővezetékek biztonságának növelésére?

VG: Alkalmazza a hálózati szegmentálást, használja a legkisebb jogosultság elvét a szerepek létrehozásához, korlátozza a titkok hatókörét a titkok kezelésében, alkalmazza gyakran a biztonsági frissítéseket, ellenőrizze a melléktermékeket, figyelje meg a konfigurációs változásokat, és figyelmeztessen azokra.

TS: Van más gondolat, amit szívesen megosztana?

VG: Bár a felhőalapú vagy felhőalapú CI/CD folyamatok egyszerűbbek, továbbra is ugyanazokat vagy hasonló problémákat tapasztaltuk, mint például a túlzottan megengedő szerepek, a szegmentálás hiánya, a túlzott hatókörű titkok és a riasztások hiánya. Fontos, hogy a vállalatok ne felejtsék el, hogy a felhőben is vannak biztonsági felelősségeik.

Generatív adatintelligencia

A szoftverfejlesztési folyamatok „szabad hatótávolságú” hozzáférést kínálnak a kiberbűnözők számára a felhőhöz, helyszíni

Az amerikai légierő szerint a mesterséges intelligencia által vezérelt F-16-osok már emberekkel is harcoltak

Az amerikai légierő szerint a mesterséges intelligencia által vezérelt F-16-osok már emberekkel is harcoltak

Legújabb intelligencia

A Quest 2 kiegészítő ára több mint 50%-kal csökkent

Kínai tudósok azt állítják, hogy áttörést sikerült elérni az F-22 lopakodó repülőgépek észlelésében: az F-22 lopakodó repülőgépek fenyegetése? – Tech Startupok

A stabilitási mesterséges intelligencia megtizedeli a személyzetet néhány héttel a vezérigazgató távozása után

A stabilitási mesterséges intelligencia megtizedeli a személyzetet néhány héttel a vezérigazgató távozása után

A Cisco a VPN-ek elleni jelszó-szórással kapcsolatos támadások tömeges megugrására figyelmeztet

Az Auburn's McCrary Institute és az Oak Ridge National Laboratory partnerek a regionális kiberbiztonsági központban

Beszélj velünk