Teadlaste sõnul võivad pideva integreerimise/pideva arenduse (CI/CD) torujuhtmed olla tarkvara tarneahela kõige ohtlikum potentsiaalne ründepind, kuna küberründajad suurendavad huvi nõrkuste otsimise vastu.
Ka ründepind kasvab: CI/CD konveierid on üha enam ettevõtte tarkvara arendusmeeskonnad, kes kasutavad neid automatiseeritud protsesside abil koodi koostamiseks, testimiseks ja juurutamiseks. Kuid liigne lubade andmine, võrgu segmenteerimise puudumine ning halvad saladused ja paigahaldus kimbutavad nende rakendamist, pakkudes kurjategijatele võimalust neid kompromiteerida, et nad saaksid vabalt liikuda kohapealsete ja pilvekeskkondade vahel.
Black Hat USA-s astuvad kolmapäeval, 10. augustil lavale Iain Smart ja Viktor Gazdag turvakonsultatsioonifirmast NCC Group.RCE-as-a-Service: õppetunnid, mis on saadud 5-aastasest reaalse maailma CI/CD torujuhtme kompromissist”, et arutada paljusid edukaid tarneahela rünnakuid, mida nad on läbi viinud CI/CD tootmistorudes peaaegu iga ettevõtte jaoks, mida ettevõte on testinud.
NCC Group on jälginud mitukümmend edukat eesmärkide kompromissi, alates väikeettevõtetest kuni Fortune 500 ettevõteteni. Lisaks turvavead, väidavad teadlased, et automatiseeritud torujuhtmete kavandatud funktsionaalsuse uudsed kuritarvitused on võimaldanud neil muuta konveierid lihtsast arendajautiliidist koodi kaugkäivitamiseks (RCE) teenusena.
"Loodan, et inimesed armastavad oma CI/CD torujuhtmeid rohkem ja rakendavad kõiki või vähemalt ühte või kahte meie seansi soovitust," ütleb Gazdag. "Samuti loodame, et see käivitab selle teema kohta rohkem turvauuringuid."
Tara Seals, Dark Readingi uudistetoimetaja, istus koos NCC Groupi turbekonsultandi Viktor Gazdagiga, et rohkem teada saada.
Tara tihendid: Millised on CI/CD torujuhtmete levinumad turbepuudused ja kuidas neid kuritarvitada?
Viktor Gazdag: Näeme regulaarselt kolme levinumat turvanõrkust, mis nõuavad rohkem tähelepanu:
1) Version Control System (VCS) või Source Control Management (SCM) kõvakodeeritud mandaadid.
Nende hulka kuuluvad shelliskriptid, sisselogimisfailid, konfiguratsioonifailide kõvakoodiga mandaadid, mis on salvestatud koodiga samasse kohta (mitte eraldi ega salajastes haldusrakendustes). Tihti leiame ka juurdepääsulube erinevatele pilvekeskkondadele (arendus, tootmine) või teatud pilves olevatele teenustele nagu SNS, Database, EC2 jne.
Samuti leiame endiselt mandaate, et pääseda juurde toetavale infrastruktuurile või CI/CD torujuhtmele. Kui ründaja saab juurdepääsu pilvekeskkonnale, saab ta loetleda oma õigused, otsida valesid seadistusi või proovida oma privileege juba pilves olles tõsta. Juurdepääsuga CI/CD konveierile näevad nad ehitusajalugu, pääsevad juurde kasutatud artefaktidele ja saladustele (nt SAST-tööriist ja selle aruanded haavatavuste või pilve juurdepääsulubade kohta) ning halvimal juhul sisestage kompileeritavasse rakendusse suvaline kood (taguuks, SolarWinds) või hankige täielik juurdepääs tootmiskeskkonnale.
2) Liiga lubavad rollid.
Arendajatel või teenusekontodel on sageli nende kontodega seotud roll (või võib sellise rolli eeldada), millel on rohkem õigusi, kui on vaja vajaliku töö tegemiseks.
Neil on juurdepääs rohkematele funktsioonidele, näiteks süsteemi konfigureerimine või nii tootmis- kui arenduskeskkondadesse ulatuvad saladused. Neil võib olla võimalik mööda minna turvakontrollidest (nt teiste arendajate heakskiidud) või muuta konveierit ja eemaldada kõik SAST-i tööriistad, mis aitavad turvaauke otsida.
Kuna torujuhtmetel on juurdepääs tootmis- ja testimiskeskkondadele, võivad need toimida sillana keskkondade vahel, isegi kohapealse ja pilve vahel, kui nende vahel pole segmenteerimist. See võimaldab ründajal tulemüüridest või hoiatustest mööda minna ja vabalt liikuda keskkondade vahel, mis muidu poleks võimalik.
3) Auditi, järelevalve ja hoiatamise puudumine.
See on enim tähelepanuta jäetud valdkond ja 90% juhtudest avastasime, et konfiguratsiooni muutmise või kasutaja/rolli haldamise puhul ei jälgita ja hoiatatakse, isegi kui auditeerimine oli sisse lülitatud või lubatud. Ainus asi, mida saab jälgida, on töö edukas või ebaõnnestunud koostamine või ehitamine.
On ka levinumaid turvaprobleeme, nagu võrgu segmenteerimise puudumine, salahaldus ja paigahaldus jne, kuid need kolm näidet on rünnakute lähtepunktid, mis on vajalikud keskmise rikkumise tuvastamise aja vähendamiseks või on olulised piiramiseks. rünnaku plahvatuse raadius.
TS: Kas teil on konkreetseid reaalseid näiteid või konkreetseid stsenaariume, millele saate osutada?
VG: Mõned uudistes olevad rünnakud, mis on seotud CI/CD või torujuhtme rünnakutega, hõlmavad järgmist:
- CCleaneri rünnak, Märts 2018
- Homebrew, august 2018
- Asus ShadowHammer, Märts 2019
- CircleCI kolmanda osapoole rikkumine, september 2019
- SolarWinds, Detsember 2020
- Codecovi bash-üleslaadija skript, aprill 2021
- TravisCI volitamata juurdepääs saladustele, september 2021
TS: Miks on automatiseeritud torujuhtmete nõrkused problemaatilised? Kuidas iseloomustaksite riski ettevõtetele?
VG: Torujuhtme etappides võib kasutada sadu tööriistu ja seetõttu on tohutud teadmised, mida keegi teadma peab, tohutult. Lisaks on torujuhtmetel võrgujuurdepääs mitmele keskkonnale ning mitu volikirja erinevate tööriistade ja keskkondade jaoks. Torujuhtmetele juurdepääsu saamine on nagu tasuta reisipääsme saamine, mis võimaldab ründajatel pääseda juurde mis tahes muule torujuhtmega seotud tööriistale või keskkonnale.
TS: Millised on mõned rünnakute tagajärjed, mida ettevõtted võivad kannatada, kui vastane CI/CD torujuhtme edukalt õõnestab?
VG: Rünnaku tagajärjed võivad hõlmata lähtekoodi või intellektuaalsete andmete varastamist, tuhandetele klientidele juurutatud rakenduse tagaukse loomist (nt SolarWinds), juurdepääsu saamist (ja vaba liikumist) mitmele keskkonnale, nagu arendus- ja tootmiskeskkond, nii kohapeal kui ka pilv või mõlemad.
TS: Kui kogenud peavad vastased torujuhtme kompromissi tegemiseks olema?
VG: See, mida me Black Hatis tutvustame, ei ole nullpäeva haavatavused (kuigi ma leidsin erinevatest tööriistadest haavatavusi) ega mingeid uusi tehnikaid. Kurjategijad võivad arendajaid rünnata andmepüügi (seansikaaperdamine, mitmefaktorilise autentimise möödaviimine, mandaatide vargus) või otse CI/CD torujuhtme kaudu, kui see pole kaitstud ja on Interneti-ühendusega.
NCC Group viis isegi turbehinnanguid läbi seal, kus me algselt veebirakendusi testisime. Leidsime, et CI/CD torujuhtmeid logitakse harva ja neid jälgitakse hoiatustega, välja arvatud tarkvara loomise/koostamise töö, nii et kurjategijad ei pea olema torujuhtme ohustamiseks nii ettevaatlikud ega kogenud.
TS: Kui levinud on seda tüüpi rünnakud ja kui laia rünnakupinda CI/CD torujuhtmed esindavad?
VG: Nagu mainitud, on uudistes mitmeid näiteid pärismaailma rünnakutest. Ja ikka võib leida näiteks Jenkinsi juhtumid Shodaniga Internetis. SaaS-i abil saavad kurjategijad paroolid loetleda ja proovida neile juurdepääsu saamiseks jõhkralt sundida paroole, kuna neil ei ole vaikimisi lubatud mitmefaktoriline autentimine ega IP-piirangud ning nad on Interneti-ühendusega.
Kaugtööga on torujuhtmeid veelgi raskem kindlustada, kuna arendajad soovivad juurdepääsu kõikjalt ja igal ajal ning IP-piirangud ei ole enam ilmtingimata teostatavad, kuna ettevõtted liiguvad null-usaldusvõrgu poole või muutuvad võrgu asukohad.
Torujuhtmetel on tavaliselt võrgujuurdepääs mitmele keskkonnale (mida nad ei tohiks) ning erinevate tööriistade ja keskkondade jaoks on juurdepääs mitmele mandaadile. Need võivad toimida sillana kohapealsete ja pilve- või tootmis- ja testimissüsteemide vahel. See võib olla väga lai rünnakupind ja rünnakud võivad tulla mitmest kohast, isegi sellistest, millel pole torujuhtme endaga midagi pistmist. Black Hatis tutvustame kahte stsenaariumi, mille puhul alustasime algselt veebirakenduste testimisega.
TS: Miks jäävad CI/CD torujuhtmed ettevõtete jaoks turvalisuse pimealaks?
VG: Enamasti ajapuuduse, vahel inimeste ja mõnel juhul ka teadmiste puudumise tõttu. CI/CD torujuhtmeid loovad sageli arendajad või IT-meeskonnad piiratud ajaga ning keskendudes kiirusele ja kohaletoimetamisele või on arendajad lihtsalt tööga üle koormatud.
CI/CD torujuhtmed võivad olla väga või äärmiselt keerulised ja sisaldada sadu tööriistu, suhelda mitme keskkonna ja saladustega ning neid saab kasutada mitu inimest. Mõned inimesed lõid isegi perioodilise tabeli esituse tööriistadest, mida saab torujuhtmes kasutada.
Kui ettevõte eraldab oma kasutatavale torujuhtmele ja toetavatele keskkondadele ohumudeli loomiseks aega, näeb ta seost keskkondade, piiride ja saladuste vahel ning seda, kus rünnakud võivad aset leida. Ohumudeli loomine ja pidev uuendamine tuleks ära teha ja see võtab aega.
TS: Millised on parimad tavad torujuhtmete turvalisuse suurendamiseks?
VG: Rakendage võrgu segmenteerimist, kasutage rollide loomisel vähimate privileegide põhimõtet, piirake saladuste haldamise saladuse ulatust, rakendage sageli turvavärskendusi, kontrollige artefakte ning jälgige konfiguratsioonimuudatusi ja hoiatage nendest.
TS: Kas on veel mõtteid, mida tahaksid jagada?
VG: Kuigi pilvepõhised või pilvepõhised CI/CD-konveierid on lihtsamad, nägime siiski samu või sarnaseid probleeme, nagu liiga lubavad rollid, segmenteerimise puudumine, ülemäärased saladused ja hoiatuste puudumine. Ettevõtete jaoks on oluline meeles pidada, et neil on ka pilves turvalisusega seotud kohustused.
