研究者によると、継続的インテグレーション/継続的開発 (CI/CD) パイプラインは、ソフトウェア サプライ チェーンの潜在的な最も危険な攻撃対象領域である可能性があるとのことです。
攻撃対象領域も拡大しています。CI/CD パイプラインは、自動化されたプロセスを使用してコードをビルド、テスト、デプロイするために使用するエンタープライズ ソフトウェア開発チーム内でますます定着しています。 しかし、過剰な権限付与、ネットワーク セグメンテーションの欠如、不十分なシークレットとパッチ管理が実装を悩ませており、犯罪者はオンプレミス環境とクラウド環境の間を自由に行き来するためにセキュリティを侵害する機会を提供しています。
10 月 XNUMX 日水曜日の Black Hat USA では、セキュリティ コンサルタント会社 NCC Group の Iin Smart と Viktor Gazdag が「RCE-as-a-Service: 5 年間の実世界の CI/CD パイプライン侵害から学んだ教訓」で、同社がテストしたほぼすべての企業の本番 CI/CD パイプラインで実行されたサプライ チェーン攻撃の成功例について説明します。
NCC グループは、中小企業からフォーチュン 500 企業に至るまで、数十件の標的への侵害の成功を監視してきました。 に加えて セキュリティバグ、研究者は、自動化されたパイプラインで意図された機能の新たな悪用により、パイプラインを単純な開発者ユーティリティからサービスとしてのリモートコード実行 (RCE) に変換することができたと述べています。
「人々が CI/CD パイプラインをもっと気に入ってくれて、私たちのセッションのすべてまたは少なくとも XNUMX つまたは XNUMX つの推奨事項を適用してくれることを願っています」と Gazdag 氏は言います。 「また、これがこのトピックに関するより多くのセキュリティ研究に火をつけることを願っています。」
Dark Reading のニュース担当マネージング エディターである Tara Seals 氏は、NCC Group のマネージング セキュリティ コンサルタントである Viktor Gazdag 氏に詳細を聞きました。
タラシール: CI/CD パイプラインでよく見られるセキュリティの弱点とは?
ヴィクトル・ガズダグ: より注意が必要な XNUMX つの一般的なセキュリティの弱点が定期的に確認されています。
1) バージョン管理システム (VCS) またはソース管理管理 (SCM) でハードコーディングされた資格情報。
これらには、シェル スクリプト、ログイン ファイル、コードと同じ場所に格納されている構成ファイル内のハードコードされた資格情報が含まれます (個別または秘密の管理アプリではありません)。 また、さまざまなクラウド環境 (開発、運用) へのアクセス トークンや、SNS、データベース、EC2 などのクラウド内の特定のサービスへのアクセス トークンもよく見られます。
また、サポート インフラストラクチャまたは CI/CD パイプラインにアクセスするための資格情報もまだ見つかります。 攻撃者がクラウド環境にアクセスすると、権限を列挙したり、構成の誤りを探したり、既にクラウドにいるため、権限の昇格を試みることができます。 CI/CD パイプラインにアクセスすると、ビルド履歴を確認し、使用されたアーティファクトとシークレット (たとえば、SAST ツールとその脆弱性またはクラウド アクセス トークンに関するレポート) にアクセスでき、最悪の場合は、コンパイルされるアプリケーションに任意のコード (バックドア、SolarWinds) を挿入するか、本番環境への完全なアクセス権を取得します。
2) 過度に寛大な役割。
多くの場合、開発者またはサービス アカウントは、必要なジョブを実行するために必要な権限よりも多くの権限を持つ、自分のアカウントに関連付けられたロール (またはロールを引き受けることができます) を持っています。
運用環境と開発環境の両方を対象としたシステムやシークレットの構成など、より多くの機能にアクセスできます。 他の開発者による承認などのセキュリティ制御を回避したり、パイプラインを変更して、脆弱性の検索に役立つ SAST ツールを削除したりできる可能性があります。
パイプラインは本番環境とテスト展開環境にアクセスできるため、それらの間にセグメンテーションがない場合、オンプレミスとクラウドの間であっても、環境間のブリッジとして機能できます。 これにより、攻撃者はファイアウォールやアラートをバイパスし、他の方法では不可能な環境間を自由に移動できます。
3) 監査、監視、および警告の欠如。
これは最も無視されている領域であり、90% の確率で、監査がオンまたは有効になっている場合でも、構成の変更またはユーザー/ロールの管理に関する監視とアラートの欠如が見つかりました。 監視される可能性があるのは、ジョブのコンパイルまたはビルドの成功または失敗だけです。
ネットワーク セグメンテーションの欠如、シークレット管理、パッチ管理など、より一般的なセキュリティの問題もありますが、これら XNUMX つの例は攻撃の開始点であり、平均的な侵害検出時間を短縮するために必要であり、制限することが重要です。攻撃爆風範囲。
TS: 具体的な実例や具体的なシナリオはありますか?
VG: CI/CD またはパイプライン攻撃に関連するニュースで取り上げられている攻撃には、次のものがあります。
- CCleaner攻撃3月、2018
- 自作、2018年XNUMX月
- Asus シャドウハンマー3月、2019
- CircleCI のサードパーティによる侵害、2019 年 XNUMX 月
- SolarWinds、12月2020
- Codecov の bash アップローダ スクリプト、2021 年 XNUMX 月
- TravisCI によるシークレットへの不正アクセス、2021 年 XNUMX 月
TS: 自動化されたパイプラインの弱点が問題になるのはなぜですか? 企業にとってのリスクをどのように特徴付けますか?
VG: パイプラインのステップでは何百ものツールが使用される可能性があり、そのため、誰かが知る必要のある膨大な知識が膨大になります。 さらに、パイプラインには、複数の環境へのネットワーク アクセスと、さまざまなツールや環境に対する複数の資格情報があります。 パイプラインへのアクセスを取得することは、攻撃者がパイプラインに関連付けられた他のツールや環境にアクセスできるようにする無料のトラベル パスを取得するようなものです。
TS: 敵対者が CI/CD パイプラインの破壊に成功した場合、企業が被る可能性のある攻撃の結果にはどのようなものがありますか?
VG: 攻撃の結果には、ソース コードや知的データの窃盗、何千もの顧客に展開されているアプリケーション (SolarWinds など) のバックドア、開発環境や本番環境などの複数の環境へのアクセス (およびそれらの間を自由に移動) が含まれる可能性があります。クラウド、またはその両方。
TS: 攻撃者は、パイプラインを侵害するためにどの程度高度である必要がありますか?
VG: Black Hat で提示しているのは、ゼロデイ脆弱性 (さまざまなツールでいくつかの脆弱性を発見しましたが) や新しい技術ではありません。 犯罪者は、フィッシング (セッション ハイジャック、多要素認証バイパス、資格情報の盗難) または CI/CD パイプラインが保護されておらず、インターネットに接続されている場合、開発者を直接攻撃できます。
NCC Group は、最初に Web アプリケーションをテストした場所でセキュリティ評価を実施しました。 私たちが発見したことは、CI/CD パイプラインは、ソフトウェアのビルド/コンパイル ジョブを除いて、ログに記録され、アラートで監視されることはめったにないため、犯罪者はパイプラインを侵害するためにそれほど注意したり洗練したりする必要はありません。
TS: これらのタイプの攻撃はどのくらい一般的ですか?また、CI/CD パイプラインが表す攻撃対象範囲はどれくらいですか?
VG: 前述のように、ニュースには実際の攻撃の例がいくつかあります。 そして、あなたはまだ見つけることができます、例えば、 インターネット上の Shodan を使用した Jenkins インスタンス. SaaS を使用すると、犯罪者は、デフォルトで有効になっている多要素認証や IP 制限がなく、インターネットに接続しているため、パスワードを列挙してブルート フォース攻撃を試みてアクセスを試みることができます。
リモート作業では、開発者がいつでもどこからでもアクセスしたいため、パイプラインを保護することがさらに難しくなります。また、企業がゼロトラスト ネットワーキングに移行したり、ネットワークの場所を変更したりすると、IP 制限は必ずしも実現可能ではなくなります。
パイプラインは通常、複数の環境へのネットワーク アクセスを持ち (そうすべきではありません)、さまざまなツールや環境の複数の資格情報にアクセスできます。 オンプレミスとクラウド、または本番システムとテスト システムの間のブリッジとして機能できます。 これは非常に広い攻撃対象領域になる可能性があり、攻撃はパイプライン自体とは関係のない場所であっても、複数の場所から発生する可能性があります。 Black Hat では、Web アプリケーションのテストから始めた XNUMX つのシナリオを紹介しています。
TS: CI/CD パイプラインが企業のセキュリティの盲点のままなのはなぜですか?
VG: 主に時間の不足、時には人不足、場合によっては知識不足が原因です。 CI/CD パイプラインは、多くの場合、開発者または IT チームによって限られた時間で作成され、速度と配信に重点が置かれています。または、開発者は単純に作業で過負荷になっています。
CI/CD パイプラインは、非常にまたは非常に複雑になる可能性があり、何百ものツールが含まれ、複数の環境やシークレットとやり取りし、複数の人が使用する可能性があります。 パイプラインで使用できるツールの周期表表現を作成した人もいます。
企業が、使用するパイプラインとサポートする環境の脅威モデルを作成する時間を割り当てると、環境、境界、および秘密の間の関係、および攻撃が発生する可能性がある場所がわかります。 脅威モデルの作成と継続的な更新を行う必要があり、時間がかかります。
TS: パイプラインのセキュリティを強化するためのベスト プラクティスは何ですか?
VG: ネットワーク セグメンテーションを適用し、ロールの作成に最小特権の原則を使用し、シークレット管理でシークレットの範囲を制限し、セキュリティ アップデートを頻繁に適用し、アーティファクトを検証し、構成の変更を監視してアラートを出します。
TS: 他に共有したい考えはありますか?
VG: クラウドネイティブまたはクラウドベースの CI/CD パイプラインはよりシンプルですが、ロールの許容範囲が広すぎる、セグメンテーションがない、シークレットの範囲が広すぎる、アラートが表示されないなど、同じまたは類似の問題が依然として見られます。 企業は、クラウドにもセキュリティの責任があることを覚えておくことが重要です。
