Jatkuvan integroinnin/jatkuvan kehityksen (CI/CD) putkistot voivat olla vaarallisin mahdollinen hyökkäyspinta ohjelmistojen toimitusketjussa, tutkijat sanovat, kun kyberhyökkääjät lisäävät kiinnostuksensa etsiä heikkouksia.
Hyökkäyspinta kasvaa myös: CI/CD-putkistot ovat yhä useammin yritysten ohjelmistokehitystiimien osa, jotka käyttävät niitä koodin rakentamiseen, testaamiseen ja käyttöön automatisoitujen prosessien avulla. Mutta liiallinen käyttöoikeus, verkon segmentoinnin puute sekä huonot salaisuudet ja korjaustiedostojen hallinta vaikeuttavat niiden toteutusta, mikä tarjoaa rikollisille mahdollisuuden vaarantaa heidät siirtyäkseen vapaasti paikallisten ja pilviympäristöjen välillä.
Black Hat USA:ssa keskiviikkona 10. elokuuta Iain Smart ja Viktor Gazdag turvallisuuskonsulttiyrityksestä NCC Groupista nousevat lavalle.RCE-as-a-Service: 5 vuoden todellisen maailman CI/CD-putkikompromissista opitut asiat”, keskustellakseen joukosta onnistuneita toimitusketjuhyökkäyksiä, joita he ovat toteuttaneet tuotanto-CI/CD-putkissa käytännössä jokaisessa yrityksen testaamassa yrityksessä.
NCC Group on valvonut useita kymmeniä onnistuneita tavoitteiden kompromisseja pienyrityksistä Fortune 500 -yrityksiin. Lisäksi turvallisuusvirheet, tutkijat sanovat, että automaattisten liukuputkien suunniteltujen toimintojen uudet väärinkäytökset ovat antaneet heille mahdollisuuden muuntaa putkilinjat yksinkertaisesta kehittäjäohjelmasta etäkoodin suorittamiseen (RCE) -palveluksi.
"Toivon, että ihmiset rakastavat enemmän CI/CD-putkistojaan ja soveltavat kaikkia tai ainakin yhtä tai kahta suositusta istunnostamme", Gazdag sanoo. "Toivomme myös, että tämä herättää lisää turvallisuustutkimusta aiheesta."
Tara Seals, Dark Readingin uutistoimittaja, istui NCC Groupin tietoturvakonsultin Viktor Gazdagin kanssa saadakseen lisätietoja.
Taran sinetit: Mitkä ovat CI/CD-putkien yleisimpiä tietoturvaheikkouksia, ja miten niitä voidaan käyttää väärin?
Viktor Gazdag: Näemme säännöllisesti kolme yleistä tietoturvaheikkoutta, jotka vaativat enemmän huomiota:
1) Kovakoodatut valtuustiedot versionhallintajärjestelmässä (VCS) tai Source Control Managementissa (SCM).
Näitä ovat shell-skriptit, kirjautumistiedostot, kovakoodatut valtuustiedot määritystiedostoissa, jotka on tallennettu samaan paikkaan kuin koodi (ei erikseen tai salaisiin hallintasovelluksiin). Löydämme usein myös pääsytokeneita erilaisiin pilviympäristöihin (kehitys, tuotanto) tai tiettyihin pilven sisältämiin palveluihin, kuten SNS, Database, EC2 jne.
Löydämme edelleen myös valtuustiedot tukiinfrastruktuurin tai CI/CD-putkien käyttämiseen. Kun hyökkääjä pääsee pilviympäristöön, hän voi luetella oikeutensa, etsiä virheellisiä määrityksiä tai yrittää parantaa oikeuksiaan, kun he ovat jo pilvessä. CI/CD-piippuun pääsyn ansiosta he voivat nähdä rakennushistorian, päästä käsiksi käytettyihin esineisiin ja salaisuuksiin (esimerkiksi SAST-työkaluun ja sen haavoittuvuuksista tai pilvipalvelutunnisteista) ja pahimmassa tapauksessa, syöttää mielivaltainen koodi (takaovi, SolarWinds) käännettävään sovellukseen tai saada täydellinen pääsy tuotantoympäristöön.
2) Liian sallivat roolit.
Kehittäjä- tai palvelutileillä on usein heidän tileihinsä liitetty rooli (tai se voi olettaa sellaisen), jolla on enemmän oikeuksia kuin tarvitaan vaaditun työn suorittamiseen.
He voivat käyttää enemmän toimintoja, kuten järjestelmän konfigurointia tai sekä tuotanto- että kehitysympäristöihin liittyviä salaisuuksia. He saattavat pystyä ohittamaan suojaussäädöt, kuten muiden kehittäjien hyväksynnän, tai muokkaamaan putkistoa ja poistamaan kaikki SAST-työkalut, jotka auttavat haavoittuvuuksien etsimisessä.
Koska putkistot voivat käyttää tuotanto- ja testauskäyttöympäristöjä, jos niiden välillä ei ole segmentointia, ne voivat toimia siltana ympäristöjen välillä, jopa on-prem- ja pilvipalveluiden välillä. Näin hyökkääjä voi ohittaa palomuurit tai kaikki hälytykset ja liikkua vapaasti ympäristöjen välillä, mikä muuten ei olisi mahdollista.
3) Tarkastuksen, seurannan ja hälytyksen puute.
Tämä on laiminlyödyin alue, ja 90 % ajasta havaitsimme, että kokoonpanomuutoksia tai käyttäjien/roolien hallintaa ei seurata ja varoittaa, vaikka valvonta olisi ollut päällä tai käytössä. Ainoa asia, jota voidaan valvoa, on onnistunut tai epäonnistunut työn kokoaminen tai rakentaminen.
On myös yleisempiä tietoturvaongelmia, kuten verkon segmentoinnin puute, salainen hallinta ja korjaustiedostojen hallinta jne., mutta nämä kolme esimerkkiä ovat hyökkäysten lähtökohtia, joita tarvitaan keskimääräisen rikkoutumisen havaitsemisajan lyhentämiseksi tai niitä on tärkeää rajoittaa. hyökkäysräjähdyksen säde.
TS: Onko sinulla konkreettisia esimerkkejä tosielämästä tai konkreettisia skenaarioita, joihin voit viitata?
VG: Jotkut uutisten hyökkäykset, jotka liittyvät CI/CD- tai putkihyökkäyksiin, ovat:
- CCleaner-hyökkäys, Maaliskuu 2018
- Homebrew, elokuu 2018
- Asus ShadowHammer, Maaliskuu 2019
- CircleCI:n kolmannen osapuolen rikkomus, syyskuu 2019
- SolarWinds, Joulukuu 2020
- Codecovin bash-latausohjelma, huhtikuu 2021
- TravisCI:n luvaton pääsy salaisuuksiin, syyskuu 2021
TS: Miksi automaattisten putkien heikkoudet ovat ongelmallisia? Miten luonnehtisit yrityksille aiheutuvaa riskiä?
VG: Liukuvaiheissa voi olla satoja työkaluja, ja tämän vuoksi valtava tieto, joka jonkun tarvitsee tietää, on valtava. Lisäksi putkilla on verkkoyhteys useisiin ympäristöihin ja useita tunnistetietoja eri työkaluille ja ympäristöille. Pääsy putkistoon on kuin ilmainen matkapassi, jonka avulla hyökkääjät voivat käyttää kaikkia muita putkiin sidottuja työkaluja tai ympäristöjä.
TS: Mitä hyökkäystuloksia yritykset voivat joutua kärsimään, jos vastustaja onnistuu kaatamaan CI/CD-putkilinjan?
VG: Hyökkäyksiin voi sisältyä lähdekoodin tai henkisen datan varastaminen, tuhansille asiakkaille käyttöönotetun sovelluksen (kuten SolarWinds) takaoven avaaminen, pääsyn saaminen useisiin ympäristöihin (ja vapaasti liikkumiseen) useisiin ympäristöihin, kuten kehitys- ja tuotantoympäristöihin, sekä paikan päällä että pilvi tai molemmat.
TS: Kuinka kehittyneitä vastustajien tulee olla vaarantaakseen putkilinjan?
VG: Se, mitä esittelemme Black Hatissa, eivät ole nollapäivän haavoittuvuuksia (vaikka löysinkin haavoittuvuuksia eri työkaluista) tai mitään uusia tekniikoita. Rikolliset voivat hyökätä kehittäjien kimppuun tietojenkalastelulla (istunnon kaappaus, monivaiheisen todennuksen ohitus, valtuustietojen varkaus) tai CI/CD-putkilinjan kautta suoraan, jos se ei ole suojattu ja se on Internetissä.
NCC Group teki jopa turvallisuusarviointeja, joissa testasimme alun perin verkkosovelluksia. Havaitsimme, että CI/CD-putkistoja kirjataan harvoin ja niitä valvotaan hälytyksellä, paitsi ohjelmiston rakennus-/kääntämistyössä, joten rikollisten ei tarvitse olla niin varovaisia tai kehittyneitä vaarantaakseen putkiston.
TS: Kuinka yleisiä tämäntyyppiset hyökkäykset ovat ja kuinka laajaa hyökkäyspinta-alaa CI/CD-putkistot edustavat?
VG: Kuten mainittiin, uutisissa on useita esimerkkejä tosielämän hyökkäyksistä. Ja silti löydät esim. Jenkinsin tapauksia Shodanin kanssa Internetissä. SaaS:n avulla rikolliset voivat luetella ja yrittää pakottaa salasanoja saadakseen pääsyn käyttöön, koska heillä ei ole oletusarvoisesti käytössä monitekijätodennusta tai IP-rajoituksia, ja he ovat Internetissä.
Etätyöskentelyn ansiosta putkien turvaaminen on entistä vaikeampaa, koska kehittäjät haluavat pääsyn mistä tahansa ja milloin tahansa, ja IP-rajoitukset eivät välttämättä ole enää mahdollisia, koska yritykset ovat siirtymässä kohti nollaluottamusta verkottumista tai niiden verkkosijainnit muuttuvat.
Putkilinjoilla on yleensä verkkoyhteys useisiin ympäristöihin (mitä niiden ei pitäisi olla), ja niillä on pääsy useisiin tunnistetietoihin eri työkaluja ja ympäristöjä varten. Ne voivat toimia siltana on-prem- ja pilvijärjestelmän tai tuotanto- ja testijärjestelmien välillä. Tämä voi olla erittäin laaja hyökkäyspinta, ja hyökkäykset voivat tulla useista paikoista, jopa sellaisista, joilla ei ole mitään tekemistä itse putkilinjan kanssa. Black Hatissa esittelemme kaksi skenaariota, joissa aloitimme alun perin verkkosovellusten testaamisesta.
TS: Miksi CI/CD-putkistot ovat edelleen turvallisuuden sokea kulma yrityksille?
VG: Useimmiten ajan puutteen, joskus ihmisten ja joissain tapauksissa tiedon puutteen vuoksi. CI/CD-putkilinjat ovat usein kehittäjien tai IT-tiimien luomia rajoitetulla ajalla ja keskittyen nopeuteen ja toimitukseen, tai kehittäjät ovat vain yksinkertaisesti ylikuormitettuja työllä.
CI/CD-putkistot voivat olla hyvin tai äärimmäisen monimutkaisia ja sisältävät satoja työkaluja, olla vuorovaikutuksessa useiden ympäristöjen ja salaisuuksien kanssa ja useiden ihmisten käytössä. Jotkut ihmiset jopa loivat jaksollisen taulukon esityksen työkaluista, joita voidaan käyttää putkistossa.
Jos yritys varaa aikaa uhkamallin luomiseen käyttämälleen putkilinjalle ja sitä tukeville ympäristöille, he näkevät yhteyden ympäristöjen, rajojen ja salaisuuksien välillä sekä hyökkäykset voivat tapahtua. Uhkamallin luominen ja jatkuva päivittäminen tulisi tehdä, ja se vie aikaa.
TS: Mitkä ovat parhaat käytännöt putkistojen turvallisuuden parantamiseksi?
VG: Käytä verkon segmentointia, käytä vähiten etuoikeuksien periaatetta roolien luomiseen, rajaa salaisuuden laajuutta salaisuuksien hallinnassa, käytä suojauspäivityksiä usein, tarkista artefaktit ja tarkkaile kokoonpanomuutoksia ja varoita niistä.
TS: Onko sinulla muita ajatuksia, joita haluaisit jakaa?
VG: Vaikka pilvipohjaiset tai pilvipohjaiset CI/CD-putkistot ovatkin yksinkertaisempia, näimme silti samat tai samankaltaiset ongelmat, kuten liian sallivat roolit, ei segmentointia, ylimääräisiä salaisuuksia ja hälytyksen puutetta. Yritysten on tärkeää muistaa, että heillä on myös tietoturvavastuu pilvessä.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
