Raziskovalci pravijo, da so cevovodi za stalno integracijo/stalni razvoj (CI/CD) morda najnevarnejša potencialna površina za napad v dobavni verigi programske opreme, saj se kibernetski napadalci bolj zanimajo za iskanje slabosti.
Tudi površina napadov se povečuje: cevovodi CI/CD so vse pogosteje stalnica v skupinah za razvoj programske opreme v podjetjih, ki jih uporabljajo za gradnjo, testiranje in uvajanje kode z uporabo avtomatiziranih procesov. Toda prekomerna dovoljenja, pomanjkanje segmentacije omrežja ter slabo upravljanje skrivnosti in popravkov ovirajo njihovo izvajanje, kar kriminalcem ponuja priložnost, da jih ogrozijo, da se prosto gibljejo med lokalnimi okolji in okolji v oblaku.
At Black Hat USA on Wednesday, Aug. 10, Iain Smart and Viktor Gazdag of security consultancy NCC Group will take to the stage during “RCE-as-a-Service: Lekcije, pridobljene v 5 letih kompromisa cevovoda CI/CD v resničnem svetu,” to discuss the raft of successful supply chain attacks they’ve carried out in production CI/CD pipelines for virtually every company the firm has tested.
Skupina NCC je nadzorovala več deset uspešnih kompromisov tarč, od malih podjetij do podjetij s seznama Fortune 500. Poleg varnostne napake, raziskovalci pravijo, da so jim nove zlorabe predvidene funkcionalnosti v avtomatiziranih cevovodih omogočile pretvorbo cevovodov iz preprostega pripomočka za razvijalce v oddaljeno izvajanje kode (RCE) kot storitev.
“I hope people will give some more love to their CI/CD pipelines and apply all or at least one or two recommendations from our session,” Gazdag says. “We also hope this will spark more security research on the topic.”
Tara Seals, Dark Reading’s managing editor for news, sat down with Viktor Gazdag, managing security consultant of NCC Group, to find out more.
Tara Seals: Katere so nekatere najpogostejše varnostne pomanjkljivosti v cevovodih CI/CD in kako jih je mogoče zlorabiti?
Viktor Gazdag: Redno opazimo tri pogoste varnostne slabosti, ki zahtevajo več pozornosti:
1) Trdo kodirane poverilnice v sistemu za nadzor različic (VCS) ali upravljanju nadzora izvora (SCM).
Ti vključujejo lupinske skripte, prijavne datoteke, trdo kodirane poverilnice v konfiguracijskih datotekah, ki so shranjene na istem mestu kot koda (ne ločeno ali v aplikacijah za tajno upravljanje). Pogosto najdemo tudi žetone za dostop do različnih oblačnih okolij (razvoj, proizvodnja) ali določenih storitev znotraj oblaka, kot so SNS, Database, EC2 itd.
Prav tako še vedno najdemo poverilnice za dostop do podporne infrastrukture ali do cevovoda CI/CD. Ko napadalec dobi dostop do okolja v oblaku, lahko našteje svoje privilegije, poišče napačne konfiguracije ali poskuša povišati svoje privilegije, saj je že v oblaku. Z dostopom do cevovoda CI/CD lahko vidijo zgodovino gradnje, dobijo dostop do artefaktov in skrivnosti, ki so bile uporabljene (na primer orodje SAST in njegova poročila o ranljivostih ali žetonih za dostop do oblaka) in v najslabšem primeru, vnesite poljubno kodo (backdoor, SolarWinds) v aplikacijo, ki bo prevedena, ali pridobite popoln dostop do produkcijskega okolja.
2) Pretirano permisivne vloge.
Razvijalci ali storitveni računi imajo pogosto vlogo, povezano z njihovimi računi (ali jo lahko prevzamejo), ki ima več dovoljenj, kot je potrebno za opravljanje zahtevanega dela.
Lahko dostopajo do več funkcij, kot je konfiguracija sistema ali skrivnosti, ki se nanašajo na proizvodno in razvojno okolje. Morda bodo lahko obšli varnostne kontrole, kot je odobritev drugih razvijalcev, ali spremenili cevovod in odstranili katero koli orodje SAST, ki bi pomagalo pri iskanju ranljivosti.
Cevovodi lahko dostopajo do produkcijskih in preskusnih uvajalnih okolij, če med njimi ni segmentacije, potem lahko delujejo kot most med okolji, tudi med on-prem in oblakom. To bo napadalcu omogočilo, da obide požarne zidove ali kakršna koli opozorila in se prosto premika med okolji, ki sicer ne bi bila mogoča.
3) Pomanjkanje revizije, spremljanja in opozarjanja.
To je najbolj zanemarjeno področje in 90 % časa smo ugotovili pomanjkanje spremljanja in opozarjanja na kakršno koli spremembo konfiguracije ali upravljanje uporabnikov/vlog, tudi če je bilo preverjanje vklopljeno ali omogočeno. Edina stvar, ki se lahko spremlja, je uspešno ali neuspešno prevajanje ali izgradnja opravila.
Obstajajo tudi pogostejše varnostne težave, kot so pomanjkanje segmentacije omrežja, upravljanje tajnosti in upravljanje popravkov itd., vendar so ti trije primeri izhodiščne točke napadov, potrebnih za zmanjšanje povprečnega časa odkrivanja vdorov ali pa jih je pomembno omejiti. radij napada.
TS: Ali imate kakšne posebne primere iz resničnega sveta ali konkretne scenarije, na katere lahko navedete?
VG: Nekateri napadi v novicah, ki so povezani z CI/CD ali napadi na cevovode, vključujejo:
- Napad CCleanerja, Marec 2018
- Homebrew, avgust 2018
- Asus ShadowHammer, Marec 2019
- Kršitev tretje osebe CircleCI, september 2019
- SolarWinds, December 2020
- Codecov’s bash uploader script, April 2021
- TravisCI nepooblaščen dostop do skrivnosti, september 2021
TS: Zakaj so slabosti v avtomatiziranih cevovodih problematične? Kako bi ocenili tveganje za podjetja?
VG: V korakih cevovoda se lahko uporablja na stotine orodij in zaradi tega je ogromno znanja, ki ga mora nekdo poznati, ogromno. Poleg tega imajo cevovodi omrežni dostop do več okolij in več poverilnic za različna orodja in okolja. Pridobitev dostopa do cevovodov je kot pridobitev brezplačne vozovnice, ki napadalcem omogoča dostop do katerega koli drugega orodja ali okolja, povezanega s cevovodom.
TS: Kakšni so nekateri rezultati napada, ki bi jih lahko utrpela podjetja, če bi nasprotnik uspešno podrl cevovod CI/CD?
VG: Rezultati napada lahko vključujejo krajo izvorne kode ali intelektualnih podatkov, zakulisno uporabo aplikacije, ki je nameščena na tisoče strank (kot je SolarWinds), pridobivanje dostopa do (in prosto premikanje med) več okolji, kot sta razvoj in proizvodnja, tako lokalno kot v oblak ali oboje.
TS: Kako sofisticirani morajo biti nasprotniki, da ogrozijo cevovod?
VG: What we’re presenting at Black Hat are not zero-day vulnerabilities (even though I found some vulnerabilities in different tools) or any new techniques. Criminals can attack developers via phishing (session hijack, multifactor authentication bypass, credentials theft) or the CI/CD pipeline directly if it’s not protected and is Internet-facing.
NCC Group even performed security assessments where we initially tested Web applications. What we found is that CI/CD pipelines are rarely logged and monitored with alerting, other than the software building/compiling job, so criminals don’t have to be that careful or sophisticated to compromise a pipeline.
TS: Kako pogoste so te vrste napadov in kako široko območje napadov predstavljajo cevovodi CI/CD?
VG: Kot omenjeno, je v novicah več primerov napadov iz resničnega sveta. In še vedno lahko najdete npr. Jenkinsovi primeri s Shodanom na internetu. With SaaS, criminals can enumerate and try to brute-force passwords to get access as they don’t have multifactor authentication enabled by default or IP restrictions, and are Internet-facing.
With remote work, pipelines are even harder to secure as developers want access from anywhere and at any time, and IP restrictions aren’t necessarily feasible anymore as companies are moving towards zero-trust networking or have changing network locations.
Pipelines usually have network access to multiple environments (which they shouldn’t), and have access to multiple credentials for different tools and environments. They can act as a bridge between on-prem and cloud, or production and test systems. This can be a very wide attack surface and attacks can come from multiple places, even those that have nothing to do with the pipeline itself. At Black Hat, we’re presenting two scenarios where we originally started off with Web application testing.
TS: Zakaj cevovodi CI/CD ostajajo varnostna slepa pega za podjetja?
VG: Večinoma zaradi pomanjkanja časa, včasih zaradi pomanjkanja ljudi, včasih tudi zaradi pomanjkanja znanja. Cevovodi CI/CD pogosto ustvarijo razvijalci ali IT ekipe z omejenim časom in s poudarkom na hitrosti in dostavi ali pa so razvijalci preprosto preobremenjeni z delom.
Cevovodi CI/CD so lahko zelo ali izjemno zapleteni in lahko vključujejo na stotine orodij, komunicirajo z več okolji in skrivnostmi ter jih uporablja več ljudi. Nekateri ljudje so celo ustvarili predstavitev periodnega sistema orodij, ki jih je mogoče uporabiti v cevovodu.
Če podjetje dodeli čas za ustvarjanje modela groženj za cevovod, ki ga uporablja, in podporna okolja, bo videlo povezavo med okolji, mejami in skrivnostmi ter kje se lahko zgodijo napadi. Ustvarjanje in stalno posodabljanje modela groženj je treba narediti, kar zahteva čas.
TS: Katere so najboljše prakse za krepitev varnosti cevovodov?
VG: Uporabite segmentacijo omrežja, uporabite načelo najmanjših privilegijev za ustvarjanje vlog, omejite obseg skrivnosti pri upravljanju skrivnosti, pogosto uporabljajte varnostne posodobitve, preverite artefakte ter spremljajte in opozarjajte na spremembe konfiguracije.
TS: Bi radi delili še kakšne druge misli?
VG: Although cloud-native or cloud-based CI/CD pipelines are more simple, we still saw the same or similar problems such as over-permissive roles, no segmentation, over-scoped secrets, and lack of alerting. It’s important for companies to remember they have security responsibilities in the cloud as well.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
