सॉफ्टवेयर डेवलपमेंट पाइपलाइन साइबर अपराधियों को क्लाउड तक 'फ्री-रेंज' एक्सेस, ऑन-प्रेम प्लेटोब्लॉकचैन डेटा इंटेलिजेंस प्रदान करती है। लंबवत खोज। ऐ.

सॉफ्टवेयर विकास पाइपलाइन साइबर अपराधियों को 'फ्री-रेंज' क्लाउड तक पहुंच प्रदान करती है, ऑन-प्रिमाइसेस

समय टिकट: अगस्त 9, 2022 4:52 अपराह्न

शोधकर्ताओं का कहना है कि निरंतर एकीकरण/निरंतर विकास (सीआई/सीडी) पाइपलाइन सॉफ्टवेयर आपूर्ति श्रृंखला की सबसे खतरनाक संभावित हमले की सतह हो सकती है, क्योंकि साइबर हमलावर कमजोरियों की जांच में अपनी रुचि बढ़ाते हैं।

हमले की सतह भी बढ़ रही है: सीआई/सीडी पाइपलाइन उद्यम सॉफ्टवेयर विकास टीमों के भीतर तेजी से एक स्थिरता हैं, जो स्वचालित प्रक्रियाओं का उपयोग करके कोड बनाने, परीक्षण और तैनाती के लिए उनका उपयोग करते हैं। लेकिन अति-अनुमति, नेटवर्क विभाजन की कमी, और खराब रहस्य और पैच प्रबंधन उनके कार्यान्वयन को प्रभावित करते हैं, अपराधियों को उन्हें ऑन-प्रिमाइसेस और क्लाउड वातावरण के बीच स्वतंत्र रूप से सीमा तक समझौता करने का अवसर प्रदान करते हैं।

बुधवार, 10 अगस्त को ब्लैक हैट यूएसए में, सुरक्षा सलाहकार एनसीसी समूह के इयान स्मार्ट और विक्टर गज़दाग "के दौरान मंच पर उतरेंगे"आरसीई-एज़-ए-सर्विस: वास्तविक दुनिया सीआई/सीडी पाइपलाइन समझौता के 5 वर्षों से सीखे गए सबक, फर्म द्वारा परीक्षण की गई लगभग हर कंपनी के लिए उत्पादन CI/CD पाइपलाइनों में किए गए सफल आपूर्ति श्रृंखला हमलों की बेड़ा पर चर्चा करने के लिए।

एनसीसी समूह ने छोटे व्यवसायों से लेकर फॉर्च्यून 500 कंपनियों तक के लक्ष्यों के कई दर्जन सफल समझौतों की देखरेख की है। निम्न के अलावा सुरक्षा कीड़े, शोधकर्ताओं का कहना है कि स्वचालित पाइपलाइनों में इच्छित कार्यक्षमता के उपन्यास दुरुपयोग ने उन्हें पाइपलाइनों को एक साधारण डेवलपर उपयोगिता से रिमोट कोड निष्पादन (आरसीई)-ए-ए-सर्विस में परिवर्तित करने की अनुमति दी है।

"मुझे उम्मीद है कि लोग अपनी सीआई / सीडी पाइपलाइनों को कुछ और प्यार देंगे और हमारे सत्र से सभी या कम से कम एक या दो सिफारिशों को लागू करेंगे," गज़दाग कहते हैं। "हम यह भी आशा करते हैं कि यह विषय पर अधिक सुरक्षा अनुसंधान को बढ़ावा देगा।"

समाचार के लिए डार्क रीडिंग के प्रबंध संपादक, तारा सील्स, अधिक जानने के लिए एनसीसी समूह के सुरक्षा सलाहकार, विक्टर गज़दाग के साथ बैठे।

तारा सील: CI/CD पाइपलाइनों में कुछ अधिक सामान्य सुरक्षा कमजोरियाँ क्या हैं, और इनका दुरुपयोग कैसे किया जा सकता है?

विक्टर गज़दाग: हम नियमित रूप से तीन सामान्य सुरक्षा कमजोरियों को देखते हैं जिन पर अधिक ध्यान देने की आवश्यकता है:

1) वर्जन कंट्रोल सिस्टम (VCS) या सोर्स कंट्रोल मैनेजमेंट (SCM) में हार्डकोडेड क्रेडेंशियल।

इनमें शेल स्क्रिप्ट, लॉगिन फ़ाइलें, कॉन्फ़िगरेशन फ़ाइलों में हार्डकोडेड क्रेडेंशियल शामिल हैं जो कोड के समान स्थान पर संग्रहीत हैं (अलग से या गुप्त प्रबंधन ऐप में नहीं)। हम अक्सर विभिन्न क्लाउड परिवेशों (विकास, उत्पादन) या क्लाउड के भीतर कुछ सेवाओं जैसे SNS, डेटाबेस, EC2, आदि के लिए एक्सेस टोकन पाते हैं।

हम अभी भी सहायक बुनियादी ढांचे या सीआई/सीडी पाइपलाइन तक पहुंचने के लिए प्रमाण-पत्र ढूंढते हैं। एक बार जब एक हमलावर को क्लाउड वातावरण तक पहुंच प्राप्त हो जाती है, तो वे अपने विशेषाधिकारों की गणना कर सकते हैं, गलत कॉन्फ़िगरेशन की तलाश कर सकते हैं, या अपने विशेषाधिकारों को बढ़ाने का प्रयास कर सकते हैं क्योंकि वे पहले से ही क्लाउड में हैं। सीआई/सीडी पाइपलाइन तक पहुंच के साथ, वे निर्माण इतिहास देख सकते हैं, कलाकृतियों और उपयोग किए गए रहस्यों तक पहुंच प्राप्त कर सकते हैं (उदाहरण के लिए, एसएएसटी उपकरण और कमजोरियों या क्लाउड एक्सेस टोकन के बारे में इसकी रिपोर्ट) और सबसे खराब स्थिति में, संकलित किए जाने वाले एप्लिकेशन में मनमाने कोड (पिछले दरवाजे, सोलरविंड्स) को इंजेक्ट करें, या उत्पादन वातावरण तक पूर्ण पहुंच प्राप्त करें।

2) अति-अनुमोदक भूमिकाएँ।

डेवलपर्स या सेवा खातों की अक्सर उनके खातों से जुड़ी भूमिका होती है (या एक मान सकते हैं) जिनके पास आवश्यक कार्य करने के लिए आवश्यकता से अधिक अनुमतियां होती हैं।

वे अधिक कार्यों तक पहुंच सकते हैं, जैसे कि सिस्टम को कॉन्फ़िगर करना या उत्पादन और विकास वातावरण दोनों के लिए गुप्त रहस्य। वे सुरक्षा नियंत्रणों को बायपास करने में सक्षम हो सकते हैं, जैसे कि अन्य डेवलपर्स द्वारा अनुमोदन, या पाइपलाइन को संशोधित करना और किसी भी एसएएसटी उपकरण को हटा देना जो कमजोरियों की खोज में मदद करेगा।

चूंकि पाइपलाइन उत्पादन और परीक्षण परिनियोजन वातावरण तक पहुंच सकते हैं, यदि उनके बीच कोई विभाजन नहीं है, तो वे ऑन-प्रिमाइसेस और क्लाउड के बीच भी, वातावरण के बीच एक सेतु के रूप में कार्य कर सकते हैं। यह एक हमलावर को फायरवॉल या किसी चेतावनी को बायपास करने और वातावरण के बीच स्वतंत्र रूप से स्थानांतरित करने की अनुमति देगा जो अन्यथा संभव नहीं होगा।

3) ऑडिट, मॉनिटरिंग और अलर्टिंग का अभाव।

यह सबसे उपेक्षित क्षेत्र है, और 90% बार हमें किसी भी कॉन्फ़िगरेशन संशोधन या उपयोगकर्ता/भूमिका प्रबंधन पर निगरानी और चेतावनी की कमी मिली, भले ही ऑडिटिंग चालू या सक्षम हो। केवल एक चीज जिस पर नजर रखी जा सकती है वह है सफल या असफल कार्य संकलन या निर्माण।

अधिक सामान्य सुरक्षा मुद्दे भी हैं, जैसे कि नेटवर्क विभाजन की कमी, गुप्त प्रबंधन और पैच प्रबंधन, आदि, लेकिन ये तीन उदाहरण हमलों के शुरुआती बिंदु हैं, जो औसत उल्लंघन का पता लगाने के समय को कम करने के लिए आवश्यक हैं, या सीमित करने के लिए महत्वपूर्ण हैं हमला विस्फोट त्रिज्या।

टीएस: क्या आपके पास कोई विशिष्ट वास्तविक दुनिया के उदाहरण या ठोस परिदृश्य हैं जिन्हें आप इंगित कर सकते हैं?

वीजी: समाचार में कुछ हमले जो CI/CD या पाइपलाइन हमलों से संबंधित हैं, उनमें शामिल हैं:

  • CCleaner हमलामार्च 2018
  • होमब्रे, अगस्त 2018
  • आसुस शैडोहैमरमार्च 2019
  • सर्किलसीआई तृतीय-पक्ष उल्लंघन, सितंबर 2019
  • ओरियन, दिसंबर 2020
  • कोडकोव की बैश अपलोडर स्क्रिप्ट, अप्रैल 2021
  • ट्रैविससीआई रहस्यों तक अनधिकृत पहुंच, सितंबर 2021

टीएस: स्वचालित पाइपलाइनों में कमजोरियाँ समस्याग्रस्त क्यों हैं? आप कंपनियों के लिए जोखिम को कैसे चिह्नित करेंगे?

वीजी: पाइपलाइन चरणों में उपयोग किए जाने वाले सैकड़ों उपकरण हो सकते हैं और इस वजह से, किसी को जानने के लिए जो जबरदस्त ज्ञान होना चाहिए वह बहुत बड़ा है। इसके अलावा, पाइपलाइनों में कई वातावरणों तक नेटवर्क पहुंच होती है, और विभिन्न उपकरणों और वातावरणों के लिए कई क्रेडेंशियल होते हैं। पाइपलाइनों तक पहुंच प्राप्त करना एक मुफ्त यात्रा पास प्राप्त करने जैसा है जो हमलावरों को पाइपलाइन से जुड़े किसी अन्य उपकरण या वातावरण तक पहुंचने देता है।

टीएस: कुछ हमले के परिणाम क्या हैं जो कंपनियों को भुगतना पड़ सकता है, क्या एक विरोधी ने सीआई/सीडी पाइपलाइन को सफलतापूर्वक नष्ट कर दिया है?

वीजी: हमले के परिणामों में स्रोत कोड या बौद्धिक डेटा चोरी करना, हजारों ग्राहकों (जैसे सोलरविंड्स) के लिए तैनात एक एप्लिकेशन को पिछले दरवाजे से शामिल करना, विकास और उत्पादन जैसे कई वातावरणों तक पहुंच प्राप्त करना (और स्वतंत्र रूप से आगे बढ़ना) शामिल हो सकता है। बादल, या दोनों।

टीएस: एक पाइपलाइन से समझौता करने के लिए विरोधियों को कितना परिष्कृत होना चाहिए?

वीजी: हम ब्लैक हैट में जो प्रस्तुत कर रहे हैं वह शून्य-दिन की कमजोरियां नहीं हैं (भले ही मुझे विभिन्न उपकरणों में कुछ कमजोरियां मिली हों) या कोई नई तकनीक। अपराधी फ़िशिंग (सत्र अपहरण, मल्टीफ़ैक्टर प्रमाणीकरण बाईपास, क्रेडेंशियल चोरी) या CI/CD पाइपलाइन के माध्यम से सीधे डेवलपर्स पर हमला कर सकते हैं यदि यह सुरक्षित नहीं है और इंटरनेट का सामना कर रहा है।

एनसीसी समूह ने सुरक्षा आकलन भी किया जहां हमने शुरुआत में वेब अनुप्रयोगों का परीक्षण किया। हमने जो पाया वह यह है कि सीआई/सीडी पाइपलाइनों को सॉफ्टवेयर निर्माण/संकलन कार्य के अलावा शायद ही कभी लॉग इन किया जाता है और अलर्ट के साथ निगरानी की जाती है, इसलिए अपराधियों को पाइपलाइन से समझौता करने के लिए सावधान या परिष्कृत होने की आवश्यकता नहीं है।

टीएस: इस प्रकार के हमले कितने आम हैं और सीआई/सीडी पाइपलाइनें हमले की सतह का कितना व्यापक प्रतिनिधित्व करती हैं?

वीजी: जैसा कि उल्लेख किया गया है, समाचारों में वास्तविक दुनिया के हमलों के कई उदाहरण हैं। और आप अभी भी पा सकते हैं, उदाहरण के लिए, इंटरनेट पर शोडन के साथ जेनकींस उदाहरण. सास के साथ, अपराधी गणना कर सकते हैं और एक्सेस प्राप्त करने के लिए पासवर्ड को जबरदस्ती करने की कोशिश कर सकते हैं क्योंकि उनके पास डिफ़ॉल्ट या आईपी प्रतिबंधों द्वारा सक्षम मल्टीफैक्टर प्रमाणीकरण नहीं है, और वे इंटरनेट का सामना कर रहे हैं।

दूरस्थ कार्य के साथ, पाइपलाइनों को सुरक्षित करना और भी कठिन होता है क्योंकि डेवलपर्स कहीं से भी और किसी भी समय पहुंच चाहते हैं, और आईपी प्रतिबंध अब जरूरी नहीं हैं क्योंकि कंपनियां शून्य-विश्वास नेटवर्किंग की ओर बढ़ रही हैं या नेटवर्क स्थान बदल रही हैं।

पाइपलाइनों में आमतौर पर कई वातावरणों तक नेटवर्क पहुंच होती है (जो उन्हें नहीं करनी चाहिए), और विभिन्न उपकरणों और वातावरणों के लिए कई क्रेडेंशियल्स तक पहुंच होती है। वे ऑन-प्रिमाइसेस और क्लाउड, या प्रोडक्शन और टेस्ट सिस्टम के बीच एक सेतु का काम कर सकते हैं। यह एक बहुत व्यापक हमले की सतह हो सकती है और हमले कई जगहों से आ सकते हैं, यहां तक ​​कि वे भी जिनका पाइपलाइन से कोई लेना-देना नहीं है। ब्लैक हैट में, हम दो परिदृश्य प्रस्तुत कर रहे हैं जहां हमने मूल रूप से वेब एप्लिकेशन परीक्षण के साथ शुरुआत की थी।

टीएस: क्यों सीआई/सीडी पाइपलाइन कंपनियों के लिए एक सुरक्षा अंधा स्थान बनी हुई है?

वीजी: ज्यादातर समय की कमी, कभी लोगों की कमी और कुछ मामलों में ज्ञान की कमी के कारण। सीआई/सीडी पाइपलाइन अक्सर डेवलपर्स या आईटी टीमों द्वारा सीमित समय के साथ और गति और वितरण पर ध्यान देने के साथ बनाई जाती हैं, या डेवलपर्स केवल काम के साथ अतिभारित होते हैं।

CI/CD पाइपलाइन बहुत या अत्यंत जटिल हो सकती हैं और इसमें सैकड़ों उपकरण शामिल हो सकते हैं, कई वातावरण और रहस्यों के साथ बातचीत कर सकते हैं, और कई लोगों द्वारा उपयोग किया जा सकता है। कुछ लोगों ने एक पाइपलाइन में उपयोग किए जा सकने वाले उपकरणों का एक आवर्त सारणी प्रतिनिधित्व भी बनाया।

यदि कोई कंपनी अपने द्वारा उपयोग की जाने वाली पाइपलाइन और सहायक वातावरण के लिए एक खतरा मॉडल बनाने के लिए समय आवंटित करती है, तो वे वातावरण, सीमाओं और रहस्यों के बीच संबंध देखेंगे, और जहां हमले हो सकते हैं। थ्रेट मॉडल बनाना और लगातार अपडेट करना चाहिए, और इसमें समय लगता है।

टीएस: पाइपलाइनों की सुरक्षा बढ़ाने के लिए कुछ सर्वोत्तम प्रथाएं क्या हैं?

वीजी: नेटवर्क विभाजन लागू करें, भूमिका निर्माण के लिए न्यूनतम-विशेषाधिकार सिद्धांत का उपयोग करें, रहस्य प्रबंधन में एक रहस्य के दायरे को सीमित करें, सुरक्षा अद्यतनों को बार-बार लागू करें, कलाकृतियों को सत्यापित करें, और कॉन्फ़िगरेशन परिवर्तनों की निगरानी और अलर्ट करें।

टीएस: क्या कोई अन्य विचार हैं जो आप साझा करना चाहेंगे?

वीजी: हालाँकि क्लाउड-नेटिव या क्लाउड-आधारित CI/CD पाइपलाइन अधिक सरल हैं, फिर भी हमने समान या समान समस्याओं को देखा जैसे कि अधिक-अनुमेय भूमिकाएँ, कोई विभाजन नहीं, अधिक-स्कोप्ड रहस्य, और अलर्ट की कमी। कंपनियों के लिए यह याद रखना महत्वपूर्ण है कि क्लाउड में भी उनकी सुरक्षा जिम्मेदारियां हैं।

समय टिकट:

से अधिक डार्क रीडिंग