يقول الباحثون إن خطوط أنابيب التكامل المستمر / التطوير المستمر (CI / CD) قد تكون أخطر سطح هجوم محتمل لسلسلة توريد البرمجيات ، حيث يزيد المهاجمون الإلكترونيون من اهتمامهم بالتحقيق في نقاط الضعف.
ينمو سطح الهجوم أيضًا: أصبحت خطوط أنابيب CI / CD عنصرًا أساسيًا بشكل متزايد داخل فرق تطوير برامج المؤسسة ، الذين يستخدمونها لبناء واختبار ونشر التعليمات البرمجية باستخدام العمليات الآلية. لكن الإفراط في الحصول على الأذونات ، والافتقار إلى تجزئة الشبكة ، والأسرار الضعيفة وإدارة التصحيح يزعج تنفيذها ، مما يوفر للمجرمين فرصة لإخلالهم بحرية تتراوح بين البيئات المحلية والسحابة.
في بلاك هات الولايات المتحدة الأمريكية يوم الأربعاء ، 10 أغسطس ، سينتقل Iain Smart و Viktor Gazdag من شركة الاستشارات الأمنية NCC Group إلى المسرح خلال "RCE-as-a-Service: الدروس المستفادة من 5 سنوات من تسوية خط أنابيب CI / CD في العالم الحقيقي، "لمناقشة سلسلة هجمات سلسلة التوريد الناجحة التي نفذوها في خطوط أنابيب إنتاج CI / CD لكل شركة تقريبًا اختبرتها الشركة.
أشرفت NCC Group على عشرات التنازلات الناجحة للأهداف ، بدءًا من الشركات الصغيرة إلى شركات Fortune 500. بالإضافة إلى البق الأمنيقول الباحثون إن الانتهاكات الجديدة للوظائف المقصودة في خطوط الأنابيب الآلية سمحت لهم بتحويل خطوط الأنابيب من أداة مساعدة بسيطة للمطورين إلى تنفيذ التعليمات البرمجية عن بُعد (RCE) - كخدمة.
يقول Gazdag: "آمل أن يمنح الناس المزيد من الحب لخطوط أنابيب CI / CD الخاصة بهم وأن يطبقوا كل أو على الأقل توصية واحدة أو توصيتين من جلستنا". "نأمل أيضًا أن يؤدي هذا إلى مزيد من البحث الأمني حول هذا الموضوع."
جلست تارا سيلز ، مديرة تحرير الأخبار في Dark Reading ، مع Viktor Gazdag ، مستشار الأمن في NCC Group ، لمعرفة المزيد.
أختام تارا: ما هي بعض نقاط الضعف الأمنية الأكثر شيوعًا في خطوط أنابيب CI / CD ، وكيف يمكن إساءة استخدامها؟
فيكتور غازداج: نرى ثلاث نقاط ضعف أمنية شائعة بشكل منتظم تتطلب مزيدًا من الاهتمام:
1) بيانات الاعتماد المشفرة في نظام التحكم في الإصدار (VCS) أو إدارة التحكم في المصدر (SCM).
وتشمل هذه البرامج النصية ، وملفات تسجيل الدخول ، وبيانات الاعتماد المشفرة في ملفات التكوين التي يتم تخزينها في نفس مكان الرمز (ليس بشكل منفصل أو في تطبيقات الإدارة السرية). غالبًا ما نجد أيضًا رموز وصول إلى بيئات سحابية مختلفة (تطوير ، إنتاج) أو خدمات معينة داخل السحابة مثل SNS ، قاعدة البيانات ، EC2 ، إلخ.
ما زلنا نجد أوراق اعتماد للوصول إلى البنية التحتية الداعمة أو إلى خط أنابيب CI / CD. بمجرد وصول المهاجم إلى بيئة السحابة ، يمكنهم تعداد امتيازاتهم ، أو البحث عن التكوينات الخاطئة ، أو محاولة رفع امتيازاتهم كما هي بالفعل في السحابة. من خلال الوصول إلى خط أنابيب CI / CD ، يمكنهم رؤية سجل الإنشاء والوصول إلى القطع الأثرية والأسرار التي تم استخدامها (على سبيل المثال ، أداة SAST وتقاريرها حول نقاط الضعف أو رموز الوصول إلى السحابة) وفي أسوأ الحالات ، إدخال رمز تعسفي (باب خلفي ، SolarWinds) في التطبيق الذي سيتم تجميعه ، أو الحصول على وصول كامل إلى بيئة الإنتاج.
2) الأدوار المتساهلة.
غالبًا ما يكون للمطورين أو حسابات الخدمة دور مرتبط بحساباتهم (أو يمكن أن يتولى دورًا واحدًا) له أذونات أكثر مما هو مطلوب للقيام بالمهمة المطلوبة.
يمكنهم الوصول إلى المزيد من الوظائف ، مثل تكوين النظام أو الأسرار المحددة لكل من بيئات الإنتاج والتطوير. قد يكونون قادرين على تجاوز ضوابط الأمان ، مثل الموافقة من قبل مطورين آخرين ، أو تعديل خط الأنابيب وإزالة أي أداة SAST من شأنها أن تساعد في البحث عن الثغرات الأمنية.
نظرًا لأن خطوط الأنابيب يمكنها الوصول إلى بيئات نشر الإنتاج والاختبار ، إذا لم يكن هناك تجزئة بينها ، فيمكنها أن تعمل كجسر بين البيئات ، حتى بين البيئات المحلية والسحابة. سيسمح هذا للمهاجم بتجاوز جدران الحماية أو أي تنبيه والتنقل بحرية بين البيئات التي لم يكن من الممكن لولا ذلك.
3) قلة التدقيق والمراقبة والتنبيه.
هذه هي المنطقة الأكثر إهمالًا ، و 90٪ من الوقت وجدنا نقصًا في المراقبة والتنبيه بشأن أي تعديل في التكوين أو إدارة المستخدم / الدور ، حتى لو تم تشغيل التدقيق أو تمكينه. الشيء الوحيد الذي يمكن مراقبته هو تجميع أو بناء العمل الناجح أو غير الناجح.
هناك أيضًا مشكلات أمنية أكثر شيوعًا ، مثل نقص تقسيم الشبكة ، وإدارة السرية ، وإدارة التصحيح ، وما إلى ذلك ، ولكن هذه الأمثلة الثلاثة هي نقاط بداية للهجمات ، وهي مطلوبة لتقليل متوسط وقت اكتشاف الاختراق ، أو من المهم الحد منها نصف قطر انفجار الهجوم.
الملخص الفني: هل لديك أي أمثلة محددة من العالم الحقيقي أو سيناريوهات محددة يمكنك الإشارة إليها؟
VG: تتضمن بعض الهجمات في الأخبار المتعلقة بهجمات CI / CD أو خطوط الأنابيب ما يلي:
- هجوم CCleaner، مارس 2018
- البيرة ، أغسطس 2018
- أسوس شادو هامر، مارس 2019
- خرق طرف ثالث في CircleCI ، سبتمبر 2019
- سولارويندز، ديسمبر 2020
- نص برنامج تحميل bash الخاص بـ Codecov ، أبريل 2021
- وصول TravisCI غير المصرح به إلى الأسرار ، سبتمبر 2021
الملخص الفني: لماذا تعتبر نقاط الضعف في خطوط الأنابيب المؤتمتة مشكلة؟ كيف تصف المخاطر على الشركات؟
VG: يمكن أن يكون هناك المئات من الأدوات المستخدمة في خطوات خط الأنابيب وبسبب هذا ، فإن المعرفة الهائلة التي يحتاج شخص ما إلى معرفتها ضخمة. بالإضافة إلى ذلك ، تتمتع خطوط الأنابيب بوصول للشبكة إلى بيئات متعددة ، وبيانات اعتماد متعددة لأدوات وبيئات مختلفة. يشبه الوصول إلى خطوط الأنابيب الحصول على تصريح سفر مجاني يتيح للمهاجمين الوصول إلى أي أداة أو بيئة أخرى مرتبطة بخط الأنابيب.
الملخص الفني: ما هي بعض نتائج الهجوم التي يمكن أن تتعرض لها الشركات إذا نجح الخصم في تخريب خط أنابيب CI / CD؟
VG: يمكن أن تتضمن نتائج الهجوم سرقة التعليمات البرمجية المصدر أو البيانات الفكرية ، أو إنشاء باب خلفي لتطبيق يتم نشره لآلاف العملاء (مثل SolarWinds) ، والوصول إلى (والتنقل بحرية بين) بيئات متعددة مثل التطوير والإنتاج ، سواء في مكان العمل أو في سحابة أو كليهما.
الملخص الفني: ما مدى التطور الذي يحتاجه الخصوم للتنازل عن خط أنابيب؟
VG: ما نقدمه في Black Hat ليس ثغرات يوم الصفر (على الرغم من أنني وجدت بعض نقاط الضعف في أدوات مختلفة) أو أي تقنيات جديدة. يمكن للمجرمين مهاجمة المطورين عن طريق التصيد الاحتيالي (اختطاف الجلسة ، تجاوز المصادقة متعددة العوامل ، سرقة بيانات الاعتماد) أو خط أنابيب CI / CD مباشرة إذا لم يكن محميًا ومتوافقًا مع الإنترنت.
حتى أن NCC Group أجرت تقييمات أمنية حيث اختبرنا تطبيقات الويب في البداية. ما وجدناه هو أن خطوط أنابيب CI / CD نادرًا ما يتم تسجيلها ومراقبتها مع التنبيه ، بخلاف مهمة بناء / تجميع البرامج ، لذلك لا يتعين على المجرمين أن يكونوا حذرين أو متطورين في المساومة على خط الأنابيب.
الملخص الفني: ما مدى شيوع هذه الأنواع من الهجمات وما مدى اتساع مساحة الهجوم التي تمثلها خطوط أنابيب CI / CD؟
VG: هناك العديد من الأمثلة على هجمات العالم الحقيقي في الأخبار ، كما ذكرنا. ولا يزال بإمكانك العثور على ، على سبيل المثال ، حالات Jenkins مع Shodan على الإنترنت. باستخدام SaaS ، يمكن للمجرمين تعداد كلمات المرور ومحاولة إجبارها على الوصول إليها نظرًا لعدم تمكين المصادقة متعددة العوامل افتراضيًا أو قيود IP ، وهم يواجهون الإنترنت.
مع العمل عن بعد ، يكون تأمين خطوط الأنابيب أكثر صعوبة لأن المطورين يريدون الوصول من أي مكان وفي أي وقت ، ولم تعد قيود IP بالضرورة ممكنة بعد الآن حيث تتجه الشركات نحو شبكات غير موثوقة أو لديها مواقع شبكة متغيرة.
عادةً ما تتمتع خطوط الأنابيب بوصول للشبكة إلى بيئات متعددة (وهو ما لا ينبغي أن تفعله) ، ولها حق الوصول إلى بيانات اعتماد متعددة لأدوات وبيئات مختلفة. يمكن أن تعمل كجسر بين أنظمة التشغيل المحلية والسحابة ، أو أنظمة الإنتاج والاختبار. يمكن أن يكون هذا سطح هجوم واسع للغاية ويمكن أن تأتي الهجمات من أماكن متعددة ، حتى تلك التي لا علاقة لها بخط الأنابيب نفسه. في Black Hat ، نقدم سيناريوهين حيث بدأنا في الأصل باختبار تطبيق الويب.
TS: لماذا تظل خطوط أنابيب CI / CD نقطة أمان عمياء للشركات؟
VG: في الغالب بسبب ضيق الوقت ، وأحيانًا قلة الناس ، وفي بعض الحالات ، نقص المعرفة. غالبًا ما يتم إنشاء خطوط أنابيب CI / CD بواسطة المطورين أو فرق تكنولوجيا المعلومات بوقت محدود ومع التركيز على السرعة والتسليم ، أو ببساطة يكون المطورون مثقلين بالعمل.
يمكن أن تكون خطوط أنابيب CI / CD معقدة للغاية أو شديدة ويمكن أن تتضمن مئات الأدوات ، وتتفاعل مع بيئات وأسرار متعددة ، ويمكن استخدامها من قبل عدة أشخاص. حتى أن بعض الأشخاص قاموا بإنشاء تمثيل لجدول دوري للأدوات التي يمكن استخدامها في خط الأنابيب.
إذا خصصت شركة وقتًا لإنشاء نموذج تهديد لخط الأنابيب الذي تستخدمه والبيئات الداعمة ، فسوف ترى العلاقة بين البيئات والحدود والأسرار ، وأين يمكن أن تحدث الهجمات. يجب إنشاء نموذج التهديد وتحديثه باستمرار ، ويستغرق الأمر وقتًا.
الملخص الفني: ما هي بعض أفضل الممارسات لتعزيز الأمان لخطوط الأنابيب؟
VG: قم بتطبيق تجزئة الشبكة ، واستخدم مبدأ الامتياز الأقل لإنشاء الدور ، وحدد نطاق السر في إدارة الأسرار ، وقم بتطبيق تحديثات الأمان بشكل متكرر ، وتحقق من العناصر الأثرية ، وراقب تغييرات التكوين وتنبيهها.
الملخص الفني: هل هناك أي أفكار أخرى تود مشاركتها؟
VG: على الرغم من أن خطوط أنابيب CI / CD المستندة إلى السحابة أو المستندة إلى السحابة هي أكثر بساطة ، إلا أننا ما زلنا نرى نفس المشكلات أو مشكلات مشابهة مثل الأدوار المتساهلة ، وعدم التقسيم ، والأسرار المفرطة في النطاق ، ونقص التنبيه. من المهم أن تتذكر الشركات أن لديها مسؤوليات أمنية في السحابة أيضًا.
