Οι αγωγοί συνεχούς ενοποίησης/συνεχούς ανάπτυξης (CI/CD) μπορεί να είναι η πιο επικίνδυνη πιθανή επιφάνεια επίθεσης της αλυσίδας εφοδιασμού λογισμικού, λένε οι ερευνητές, καθώς οι κυβερνοεπιθέσεις εντείνουν το ενδιαφέρον τους να διερευνήσουν αδυναμίες.
Η επιφάνεια επίθεσης μεγαλώνει επίσης: οι αγωγοί CI/CD αποτελούν όλο και περισσότερο ένα εξάρτημα στις ομάδες ανάπτυξης λογισμικού επιχειρήσεων, οι οποίες τους χρησιμοποιούν για την κατασκευή, τη δοκιμή και την ανάπτυξη κώδικα χρησιμοποιώντας αυτοματοποιημένες διαδικασίες. Ωστόσο, η υπερβολική άδεια, η έλλειψη τμηματοποίησης δικτύου και η κακή διαχείριση μυστικών και ενημερώσεων κώδικα μαστίζουν την υλοποίησή τους, προσφέροντας στους εγκληματίες την ευκαιρία να τους διακινδυνεύσουν ώστε να κυμαίνονται ελεύθερα ανάμεσα σε περιβάλλοντα εσωτερικού και cloud.
Στο Black Hat USA την Τετάρτη, 10 Αυγούστου, ο Iain Smart και ο Viktor Gazdag της εταιρείας συμβούλων ασφαλείας NCC Group θα ανέβουν στη σκηνή κατά τη διάρκεια του "RCE-as-a-Service: Διδάγματα που αντλήθηκαν από 5 χρόνια Συμβιβασμού αγωγών CI/CD πραγματικού κόσμου», για να συζητήσουν τη σειρά των επιτυχημένων επιθέσεων στην αλυσίδα εφοδιασμού που έχουν πραγματοποιήσει σε αγωγούς παραγωγής CI/CD για σχεδόν κάθε εταιρεία που έχει δοκιμάσει η εταιρεία.
Ο Όμιλος NCC έχει επιβλέψει αρκετές δεκάδες επιτυχημένους συμβιβασμούς στόχων, που κυμαίνονται από μικρές επιχειρήσεις έως εταιρείες του Fortune 500. Επιπρόσθετα σφάλματα ασφαλείας, οι ερευνητές λένε ότι οι νέες καταχρήσεις της προβλεπόμενης λειτουργικότητας σε αυτοματοποιημένους αγωγούς τους επέτρεψαν να μετατρέψουν αγωγούς από ένα απλό βοηθητικό πρόγραμμα προγραμματιστή σε απομακρυσμένη εκτέλεση κώδικα (RCE)-as-a-service.
«Ελπίζω ότι οι άνθρωποι θα δώσουν περισσότερη αγάπη στους αγωγούς CI/CD τους και θα εφαρμόσουν όλες ή τουλάχιστον μία ή δύο συστάσεις από τη συνεδρίασή μας», λέει ο Gazdag. "Ελπίζουμε επίσης ότι αυτό θα πυροδοτήσει περισσότερη έρευνα ασφάλειας για το θέμα."
Η Tara Seals, η διευθύνουσα συντάκτρια ειδήσεων του Dark Reading, συναντήθηκε με τον Viktor Gazdag, σύμβουλο διαχείρισης ασφαλείας του NCC Group, για να μάθετε περισσότερα.
Tara Seals: Ποιες είναι μερικές από τις πιο κοινές αδυναμίες ασφάλειας στους αγωγούς CI/CD και πώς μπορεί να γίνει κατάχρηση;
Viktor Gazdag: Βλέπουμε τακτικά τρεις κοινές αδυναμίες ασφάλειας που απαιτούν περισσότερη προσοχή:
1) Ενσωματωμένα διαπιστευτήρια σε Σύστημα Ελέγχου Έκδοσης (VCS) ή Διαχείριση Ελέγχου Πηγής (SCM).
Αυτά περιλαμβάνουν σενάρια κελύφους, αρχεία σύνδεσης, διαπιστευτήρια με σκληρό κώδικα σε αρχεία διαμόρφωσης που αποθηκεύονται στο ίδιο μέρος με τον κώδικα (όχι χωριστά ή σε μυστικές εφαρμογές διαχείρισης). Επίσης, συχνά βρίσκουμε διακριτικά πρόσβασης σε διαφορετικά περιβάλλοντα cloud (ανάπτυξη, παραγωγή) ή ορισμένες υπηρεσίες εντός του cloud όπως SNS, Database, EC2 κ.λπ.
Εξακολουθούμε επίσης να βρίσκουμε διαπιστευτήρια για πρόσβαση στην υποστηρικτική υποδομή ή στον αγωγό CI/CD. Μόλις ένας εισβολέας αποκτήσει πρόσβαση στο περιβάλλον cloud, μπορεί να απαριθμήσει τα προνόμιά του, να αναζητήσει εσφαλμένες διαμορφώσεις ή να προσπαθήσει να αυξήσει τα προνόμιά του καθώς βρίσκονται ήδη στο cloud. Με πρόσβαση στον αγωγό CI/CD, μπορούν να δουν το ιστορικό κατασκευής, να αποκτήσουν πρόσβαση στα τεχνουργήματα και τα μυστικά που χρησιμοποιήθηκαν (για παράδειγμα, το εργαλείο SAST και οι αναφορές του σχετικά με τρωτά σημεία ή διακριτικά πρόσβασης στο cloud) και στη χειρότερη περίπτωση, εισάγετε αυθαίρετο κώδικα (backdoor, SolarWinds) στην εφαρμογή που θα μεταγλωττιστεί ή αποκτήστε πλήρη πρόσβαση στο περιβάλλον παραγωγής.
2) Υπερεπιτρεπτικοί ρόλοι.
Οι λογαριασμοί προγραμματιστών ή υπηρεσιών έχουν συχνά έναν ρόλο που συσχετίζεται με τους λογαριασμούς τους (ή μπορούν να υποθέσουν έναν) που έχει περισσότερα δικαιώματα από όσα απαιτούνται για την εκτέλεση της απαιτούμενης εργασίας.
Μπορούν να έχουν πρόσβαση σε περισσότερες λειτουργίες, όπως η διαμόρφωση του συστήματος ή μυστικά που καλύπτονται τόσο σε περιβάλλοντα παραγωγής όσο και σε περιβάλλον ανάπτυξης. Ενδέχεται να είναι σε θέση να παρακάμψουν τους ελέγχους ασφαλείας, όπως την έγκριση από άλλους προγραμματιστές, ή να τροποποιήσουν τη διοχέτευση και να αφαιρέσουν οποιοδήποτε εργαλείο SAST που θα βοηθούσε στην αναζήτηση τρωτών σημείων.
Καθώς οι αγωγοί μπορούν να έχουν πρόσβαση σε περιβάλλοντα παραγωγής και δοκιμών ανάπτυξης, εάν δεν υπάρχει τμηματοποίηση μεταξύ τους, τότε μπορούν να λειτουργήσουν ως γέφυρα μεταξύ περιβαλλόντων, ακόμη και μεταξύ on-prem και cloud. Αυτό θα επιτρέψει σε έναν εισβολέα να παρακάμψει τα τείχη προστασίας ή οποιαδήποτε ειδοποίηση και να μετακινηθεί ελεύθερα μεταξύ περιβαλλόντων που διαφορετικά δεν θα ήταν δυνατό.
3) Έλλειψη ελέγχου, παρακολούθησης και ειδοποίησης.
Αυτή είναι η πιο παραμελημένη περιοχή και στο 90% των φορών διαπιστώναμε έλλειψη παρακολούθησης και ειδοποίησης για οποιαδήποτε τροποποίηση διαμόρφωσης ή διαχείριση χρήστη/ρόλων, ακόμα κι αν ο έλεγχος ήταν ενεργοποιημένος ή ενεργοποιημένος. Το μόνο πράγμα που μπορεί να παρακολουθείται είναι η επιτυχής ή αποτυχημένη συλλογή ή κατασκευή εργασίας.
Υπάρχουν επίσης πιο κοινά ζητήματα ασφαλείας, όπως η έλλειψη τμηματοποίησης δικτύου, η μυστική διαχείριση και η διαχείριση ενημερώσεων κώδικα κ.λπ., αλλά αυτά τα τρία παραδείγματα είναι σημεία εκκίνησης επιθέσεων, που απαιτούνται για τη μείωση του μέσου χρόνου ανίχνευσης παραβίασης ή είναι σημαντικό να περιοριστούν ακτίνα έκρηξης επίθεσης.
TS: Έχετε συγκεκριμένα παραδείγματα από τον πραγματικό κόσμο ή συγκεκριμένα σενάρια που μπορείτε να επισημάνετε;
VG: Ορισμένες επιθέσεις στις ειδήσεις που σχετίζονται με επιθέσεις CI/CD ή αγωγών περιλαμβάνουν:
- Επίθεση CCleaner, Μάρτιος 2018
- Homebrew, Αύγουστος 2018
- Asus ShadowHammer, Μάρτιος 2019
- Παραβίαση τρίτου μέρους CircleCI, Σεπτέμβριος 2019
- SolarWinds, Δεκέμβριος 2020
- Το σενάριο του Codecov's bash uploader, Απρίλιος 2021
- TravisCI μη εξουσιοδοτημένη πρόσβαση σε μυστικά, Σεπτέμβριος 2021
TS: Γιατί οι αδυναμίες στους αυτοματοποιημένους αγωγούς είναι προβληματικές; Πώς θα χαρακτηρίζατε τον κίνδυνο για τις εταιρείες;
VG: Μπορεί να υπάρχουν εκατοντάδες εργαλεία που χρησιμοποιούνται σε βήματα αγωγών και εξαιτίας αυτού, η τεράστια γνώση που χρειάζεται να γνωρίζει κάποιος είναι τεράστια. Επιπλέον, οι αγωγοί έχουν πρόσβαση δικτύου σε πολλαπλά περιβάλλοντα και πολλαπλά διαπιστευτήρια για διαφορετικά εργαλεία και περιβάλλοντα. Η απόκτηση πρόσβασης σε αγωγούς είναι σαν να αποκτάτε ένα δωρεάν ταξιδιωτικό πάσο που επιτρέπει στους εισβολείς να έχουν πρόσβαση σε οποιοδήποτε άλλο εργαλείο ή περιβάλλον που συνδέεται με τον αγωγό.
TS: Ποια είναι μερικά από τα αποτελέσματα επίθεσης που θα μπορούσαν να υποστούν οι εταιρείες εάν ένας αντίπαλος ανατρέψει με επιτυχία έναν αγωγό CI/CD;
VG: Τα αποτελέσματα των επιθέσεων μπορεί να περιλαμβάνουν κλοπή πηγαίου κώδικα ή πνευματικών δεδομένων, backdooring μιας εφαρμογής που έχει αναπτυχθεί σε χιλιάδες πελάτες (όπως η SolarWinds), απόκτηση πρόσβασης (και ελεύθερη μετακίνηση μεταξύ) σε πολλαπλά περιβάλλοντα, όπως ανάπτυξη και παραγωγή, τόσο on-prem όσο και στο σύννεφο ή και τα δύο.
TS: Πόσο εξελιγμένοι πρέπει να είναι οι αντίπαλοι για να συμβιβάσουν έναν αγωγό;
VG: Αυτό που παρουσιάζουμε στο Black Hat δεν είναι τρωτά σημεία μηδενικής ημέρας (παρόλο που βρήκα κάποια τρωτά σημεία σε διαφορετικά εργαλεία) ή νέες τεχνικές. Οι εγκληματίες μπορούν να επιτεθούν στους προγραμματιστές μέσω phishing (πειρατεία σύνδεσης, παράκαμψη ελέγχου ταυτότητας πολλαπλών παραγόντων, κλοπή διαπιστευτηρίων) ή απευθείας στον αγωγό CI/CD, εάν δεν προστατεύεται και έχει πρόσβαση στο Διαδίκτυο.
Το NCC Group πραγματοποίησε ακόμη και αξιολογήσεις ασφαλείας όπου αρχικά δοκιμάσαμε εφαρμογές Ιστού. Αυτό που διαπιστώσαμε είναι ότι οι αγωγοί CI/CD σπάνια καταγράφονται και παρακολουθούνται με ειδοποίηση, εκτός από την εργασία δημιουργίας/μεταγλώττισης λογισμικού, επομένως οι εγκληματίες δεν χρειάζεται να είναι τόσο προσεκτικοί ή εξελιγμένοι για να θέσουν σε κίνδυνο έναν αγωγό.
TS: Πόσο συνηθισμένοι είναι αυτοί οι τύποι επιθέσεων και πόσο ευρεία επιφάνεια επίθεσης αντιπροσωπεύουν οι αγωγοί CI/CD;
VG: Υπάρχουν πολλά παραδείγματα πραγματικών επιθέσεων στις ειδήσεις, όπως αναφέρθηκε. Και μπορείτε ακόμα να βρείτε, για παράδειγμα, Περιπτώσεις Jenkins με τον Shodan στο Διαδίκτυο. Με το SaaS, οι εγκληματίες μπορούν να απαριθμήσουν και να προσπαθήσουν να εξαναγκάσουν τους κωδικούς πρόσβασης για να αποκτήσουν πρόσβαση, καθώς δεν έχουν ενεργοποιημένο έλεγχο ταυτότητας πολλαπλών παραγόντων από προεπιλογή ή περιορισμούς IP και έχουν πρόσβαση στο Διαδίκτυο.
Με την απομακρυσμένη εργασία, οι αγωγοί είναι ακόμη πιο δύσκολο να ασφαλιστούν, καθώς οι προγραμματιστές θέλουν πρόσβαση από οπουδήποτε και ανά πάσα στιγμή, και οι περιορισμοί IP δεν είναι απαραίτητα πλέον εφικτές, καθώς οι εταιρείες κινούνται προς δικτύωση μηδενικής εμπιστοσύνης ή αλλάζουν τοποθεσίες δικτύου.
Οι αγωγοί έχουν συνήθως πρόσβαση δικτύου σε πολλά περιβάλλοντα (κάτι που δεν θα έπρεπε) και έχουν πρόσβαση σε πολλαπλά διαπιστευτήρια για διαφορετικά εργαλεία και περιβάλλοντα. Μπορούν να λειτουργήσουν ως γέφυρα μεταξύ on-prem και cloud, ή συστημάτων παραγωγής και δοκιμής. Αυτή μπορεί να είναι μια πολύ ευρεία επιφάνεια επίθεσης και οι επιθέσεις μπορεί να προέρχονται από πολλά μέρη, ακόμη και εκείνα που δεν έχουν καμία σχέση με τον ίδιο τον αγωγό. Στη Black Hat, παρουσιάζουμε δύο σενάρια όπου ξεκινήσαμε αρχικά με τη δοκιμή εφαρμογών Web.
TS: Γιατί οι αγωγοί CI/CD παραμένουν τυφλό σημείο ασφαλείας για τις εταιρείες;
VG: Κυρίως λόγω έλλειψης χρόνου, μερικές φορές έλλειψης ανθρώπων και σε ορισμένες περιπτώσεις έλλειψης γνώσης. Οι αγωγοί CI/CD δημιουργούνται συχνά από προγραμματιστές ή ομάδες IT με περιορισμένο χρόνο και με έμφαση στην ταχύτητα και την παράδοση, ή οι προγραμματιστές απλώς υπερφορτώνονται με δουλειά.
Οι αγωγοί CI/CD μπορεί να είναι πολύ ή εξαιρετικά περίπλοκοι και μπορούν να περιλαμβάνουν εκατοντάδες εργαλεία, να αλληλεπιδρούν με πολλά περιβάλλοντα και μυστικά και να χρησιμοποιούνται από πολλούς ανθρώπους. Μερικοί άνθρωποι δημιούργησαν ακόμη και μια αναπαράσταση περιοδικού πίνακα των εργαλείων που μπορούν να χρησιμοποιηθούν σε έναν αγωγό.
Εάν μια εταιρεία διαθέσει χρόνο για να δημιουργήσει ένα μοντέλο απειλής για τον αγωγό που χρησιμοποιεί και τα υποστηρικτικά περιβάλλοντα, θα δει τη σύνδεση μεταξύ των περιβαλλόντων, των ορίων και των μυστικών, καθώς και πού μπορούν να συμβούν οι επιθέσεις. Η δημιουργία και η συνεχής ενημέρωση του μοντέλου απειλών θα πρέπει να γίνεται και χρειάζεται χρόνο.
TS: Ποιες είναι μερικές βέλτιστες πρακτικές για την ενίσχυση της ασφάλειας για τους αγωγούς;
VG: Εφαρμόστε τμηματοποίηση δικτύου, χρησιμοποιήστε την αρχή των ελάχιστων προνομίων για τη δημιουργία ρόλου, περιορίστε το εύρος ενός μυστικού στη διαχείριση μυστικών, εφαρμόστε συχνά ενημερώσεις ασφαλείας, επαληθεύστε τεχνουργήματα και παρακολουθήστε και ειδοποιήστε τις αλλαγές διαμόρφωσης.
TS: Υπάρχουν άλλες σκέψεις που θα θέλατε να μοιραστείτε;
VG: Παρόλο που οι αγωγοί CI/CD που βασίζονται στο cloud είναι πιο απλοί, εξακολουθούμε να βλέπουμε τα ίδια ή παρόμοια προβλήματα, όπως υπερβολικά επιτρεπτούς ρόλους, καμία κατάτμηση, μυστικά υπερβολικού εύρους και έλλειψη ειδοποίησης. Είναι σημαντικό για τις εταιρείες να θυμούνται ότι έχουν ευθύνες ασφάλειας και στο cloud.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
