سافٹ ویئر ڈیولپمنٹ پائپ لائنز سائبر کرائمینلز کو کلاؤڈ، آن پریم پلیٹو بلاکچین ڈیٹا انٹیلی جنس تک 'فری رینج' رسائی کی پیشکش کرتی ہیں۔ عمودی تلاش۔ عی

سافٹ ویئر ڈویلپمنٹ پائپ لائنز سائبر کرائمین کو کلاؤڈ، آن پریم تک 'فری رینج' رسائی کی پیشکش کرتی ہیں

ٹائم سٹیمپ: 9 اگست 2022 شام 4:52 بجے

مسلسل انضمام/مسلسل ترقی (CI/CD) پائپ لائنیں سافٹ ویئر سپلائی چین کی سب سے خطرناک ممکنہ حملے کی سطح ہو سکتی ہیں، محققین کا کہنا ہے کہ سائبر حملہ کرنے والے کمزوریوں کی تحقیقات میں اپنی دلچسپی بڑھاتے ہیں۔

حملے کی سطح بھی بڑھ رہی ہے: CI/CD پائپ لائنز انٹرپرائز سافٹ ویئر ڈویلپمنٹ ٹیموں کے اندر تیزی سے ایک فکسچر ہیں، جو انہیں خودکار عمل کا استعمال کرتے ہوئے کوڈ بنانے، جانچنے اور تعینات کرنے کے لیے استعمال کرتی ہیں۔ لیکن حد سے زیادہ اجازت، نیٹ ورک کی تقسیم کی کمی، اور ناقص راز اور پیچ مینجمنٹ ان کے نفاذ کو متاثر کرتے ہیں، جو مجرموں کو موقع فراہم کرتے ہیں کہ وہ آن پریمیسس اور کلاؤڈ ماحول کے درمیان آزادانہ طور پر رینج کرنے کے لیے سمجھوتہ کریں۔

بدھ، 10 اگست کو بلیک ہیٹ یو ایس اے میں، سیکیورٹی کنسلٹنسی این سی سی گروپ کے آئن اسمارٹ اور وکٹر گزڈاگ اسٹیج پر آئیں گے۔RCE-as-a-service: حقیقی دنیا کے CI/CD پائپ لائن سمجھوتہ کے 5 سالوں سے سیکھے گئے اسباق, "کامیاب سپلائی چین حملوں کے بیڑے پر تبادلہ خیال کرنے کے لئے جو انہوں نے پروڈکشن CI/CD پائپ لائنوں میں عملی طور پر ہر کمپنی کے لئے کیا ہے جس کا فرم نے تجربہ کیا ہے۔

NCC گروپ نے اہداف کے کئی درجن کامیاب سمجھوتوں کی نگرانی کی ہے، جس میں چھوٹے کاروبار سے لے کر Fortune 500 کمپنیوں تک شامل ہیں۔ اس کے علاوہ سیکورٹی کیڑے، محققین کا کہنا ہے کہ خودکار پائپ لائنوں میں مطلوبہ فعالیت کے نئے غلط استعمال نے انہیں ایک سادہ ڈویلپر یوٹیلیٹی سے پائپ لائنوں کو ریموٹ کوڈ ایگزیکیوشن (RCE) - بطور سروس میں تبدیل کرنے کی اجازت دی ہے۔

Gazdag کا کہنا ہے کہ "مجھے امید ہے کہ لوگ اپنی CI/CD پائپ لائنوں کو کچھ زیادہ پیار دیں گے اور ہمارے سیشن کی تمام یا کم از کم ایک یا دو سفارشات کا اطلاق کریں گے۔" "ہم یہ بھی امید کرتے ہیں کہ اس سے اس موضوع پر مزید حفاظتی تحقیق شروع ہوگی۔"

تارا سیل، خبروں کے لیے ڈارک ریڈنگ کی مینیجنگ ایڈیٹر، مزید جاننے کے لیے، NCC گروپ کے مینیجنگ سیکیورٹی کنسلٹنٹ وکٹر گزدگ کے ساتھ بیٹھیں۔

تارا سیل: CI/CD پائپ لائنز میں سیکیورٹی کی کچھ زیادہ عام کمزوریاں کیا ہیں، اور ان کا غلط استعمال کیسے کیا جا سکتا ہے؟

وکٹر گزداگ: ہم تین عام سیکورٹی کمزوریوں کو باقاعدگی سے دیکھتے ہیں جن پر زیادہ توجہ کی ضرورت ہوتی ہے:

1) ورژن کنٹرول سسٹم (VCS) یا سورس کنٹرول مینجمنٹ (SCM) میں ہارڈ کوڈ شدہ اسناد۔

ان میں شیل اسکرپٹس، لاگ ان فائلز، کنفیگریشن فائلوں میں ہارڈ کوڈ شدہ اسناد شامل ہیں جو کوڈ کے طور پر ایک ہی جگہ پر محفوظ کی جاتی ہیں (الگ الگ یا خفیہ مینجمنٹ ایپس میں نہیں)۔ ہمیں اکثر بادل کے مختلف ماحول (ترقی، پیداوار) یا کلاؤڈ کے اندر مخصوص خدمات جیسے SNS، ڈیٹا بیس، EC2، وغیرہ تک رسائی کے ٹوکن بھی ملتے ہیں۔

ہمیں اب بھی معاون انفراسٹرکچر یا CI/CD پائپ لائن تک رسائی کے لیے اسناد ملتے ہیں۔ ایک بار جب حملہ آور کو کلاؤڈ ماحول تک رسائی حاصل ہو جاتی ہے، تو وہ اپنے مراعات کی گنتی کر سکتے ہیں، غلط کنفیگریشنز تلاش کر سکتے ہیں، یا اپنی مراعات کو بلند کرنے کی کوشش کر سکتے ہیں کیونکہ وہ پہلے سے ہی کلاؤڈ میں ہیں۔ CI/CD پائپ لائن تک رسائی کے ساتھ، وہ تعمیر کی تاریخ دیکھ سکتے ہیں، استعمال کیے گئے نمونوں اور رازوں تک رسائی حاصل کر سکتے ہیں (مثال کے طور پر، SAST ٹول اور کمزوریوں یا کلاؤڈ ایکسیس ٹوکنز کے بارے میں اس کی رپورٹس) اور بدترین صورت حال میں، ایپلی کیشن میں صوابدیدی کوڈ (بیک ڈور، سولر ونڈز) لگائیں جو مرتب کیا جائے گا، یا پیداواری ماحول تک مکمل رسائی حاصل کی جائے گی۔

2) حد سے زیادہ اجازت دینے والے کردار۔

ڈویلپرز یا سروس اکاؤنٹس کا اکثر ان کے اکاؤنٹس سے وابستہ ایک کردار ہوتا ہے (یا ایک فرض کر سکتا ہے) جس کے پاس مطلوبہ کام کرنے کے لیے ضرورت سے زیادہ اجازتیں ہوتی ہیں۔

وہ مزید افعال تک رسائی حاصل کر سکتے ہیں، جیسے کہ نظام کو ترتیب دینا یا پروڈکشن اور ڈویلپمنٹ دونوں ماحول کے لیے دائر کردہ راز۔ وہ سیکیورٹی کنٹرولز کو نظرانداز کرنے کے قابل ہو سکتے ہیں، جیسے کہ دوسرے ڈویلپرز کی منظوری، یا پائپ لائن میں ترمیم کر سکتے ہیں اور کسی بھی SAST ٹول کو ہٹا سکتے ہیں جو کمزوریوں کو تلاش کرنے میں مدد کرتا ہے۔

چونکہ پائپ لائنیں پیداوار اور جانچ کے تعیناتی ماحول تک رسائی حاصل کر سکتی ہیں، اگر ان کے درمیان کوئی تقسیم نہیں ہے، تو وہ ماحول کے درمیان ایک پل کا کام کر سکتی ہیں، یہاں تک کہ آن پریم اور کلاؤڈ کے درمیان۔ یہ حملہ آور کو فائر والز یا کسی بھی انتباہ کو نظرانداز کرنے اور آزادانہ طور پر ایسے ماحول کے درمیان منتقل کرنے کی اجازت دے گا جو بصورت دیگر ممکن نہیں ہوگا۔

3) آڈٹ، نگرانی، اور انتباہ کا فقدان۔

یہ سب سے زیادہ نظرانداز شدہ علاقہ ہے، اور 90% وقت میں ہمیں کسی بھی ترتیب میں ترمیم یا صارف/کردار کے نظم و نسق پر نگرانی اور انتباہ کی کمی محسوس ہوئی، چاہے آڈیٹنگ آن یا فعال کی گئی ہو۔ صرف ایک چیز جس کی نگرانی کی جا سکتی ہے وہ ہے کامیاب یا ناکام کام کی تالیف یا تعمیر۔

سیکیورٹی کے زیادہ عام مسائل بھی ہیں، جیسے کہ نیٹ ورک سیگمنٹیشن کی کمی، سیکرٹ مینجمنٹ، اور پیچ مینجمنٹ وغیرہ، لیکن یہ تین مثالیں حملوں کے ابتدائی مقامات ہیں، جو اوسط خلاف ورزی کا پتہ لگانے کے وقت کو کم کرنے کے لیے درکار ہیں، یا محدود کرنے کے لیے اہم ہیں۔ حملے کے دھماکے کا رداس۔

ٹی ایس: کیا آپ کے پاس حقیقی دنیا کی کوئی مخصوص مثالیں یا ٹھوس منظرنامے ہیں جن کی طرف آپ اشارہ کر سکتے ہیں؟

وی جی: خبروں میں کچھ حملے جو CI/CD یا پائپ لائن حملوں سے متعلق ہیں ان میں شامل ہیں:

  • CCleaner حملہ، مارچ 2018
  • ہومبریو، اگست 2018
  • Asus شیڈو ہیمر، مارچ 2019
  • CircleCI تیسرے فریق کی خلاف ورزی، ستمبر 2019
  • سولر ونڈز۔، دسمبر 2020
  • Codecov کی bash اپ لوڈر اسکرپٹ، اپریل 2021
  • TravisCI رازوں تک غیر مجاز رسائی، ستمبر 2021

ٹی ایس: خودکار پائپ لائنوں میں کمزوریاں کیوں مشکل ہیں؟ آپ کمپنیوں کے خطرے کو کس طرح بیان کریں گے؟

وی جی: پائپ لائن کے مراحل میں استعمال ہونے والے سیکڑوں ٹولز ہوسکتے ہیں اور اس کی وجہ سے، کسی کو جاننے کے لیے جس زبردست علم کی ضرورت ہے وہ بہت بڑا ہے۔ اس کے علاوہ، پائپ لائنوں کے پاس متعدد ماحول تک نیٹ ورک تک رسائی ہے، اور مختلف ٹولز اور ماحول کے لیے متعدد اسناد ہیں۔ پائپ لائنوں تک رسائی حاصل کرنا ایک مفت سفری پاس حاصل کرنے کے مترادف ہے جو حملہ آوروں کو پائپ لائن سے منسلک کسی دوسرے آلے یا ماحول تک رسائی حاصل کرنے دیتا ہے۔

ٹی ایس: اگر کسی مخالف کو کامیابی کے ساتھ CI/CD پائپ لائن کو تباہ کرنے پر کمپنیوں کو حملے کے کچھ نتائج کا سامنا کرنا پڑ سکتا ہے؟

وی جی: حملے کے نتائج میں سورس کوڈ یا انٹلیکچوئل ڈیٹا چوری کرنا، ایک ایپلیکیشن کو بیک ڈور کرنا شامل ہو سکتا ہے جسے ہزاروں صارفین (جیسے سولر ونڈز) کے لیے تعینات کیا جاتا ہے، متعدد ماحول تک رسائی حاصل کرنا (اور آزادانہ طور پر ان کے درمیان منتقل ہونا) جیسے کہ ترقی اور پیداوار، آن پریم یا دونوں میں۔ بادل، یا دونوں.

ٹی ایس: ایک پائپ لائن پر سمجھوتہ کرنے کے لیے مخالفین کو کتنے نفیس ہونے کی ضرورت ہے؟

وی جی: بلیک ہیٹ میں جو کچھ ہم پیش کر رہے ہیں وہ صفر دن کی کمزوریاں نہیں ہیں (حالانکہ مجھے مختلف ٹولز میں کچھ کمزوریاں ملی ہیں) یا کوئی نئی تکنیک۔ مجرم ڈیولپرز پر فشنگ (سیشن ہائی جیک، ملٹی فیکٹر توثیق بائی پاس، اسناد کی چوری) یا CI/CD پائپ لائن پر براہ راست حملہ کر سکتے ہیں اگر یہ محفوظ نہیں ہے اور انٹرنیٹ کا سامنا ہے۔

این سی سی گروپ نے یہاں تک کہ حفاظتی جائزہ بھی انجام دیا جہاں ہم نے ابتدائی طور پر ویب ایپلیکیشنز کا تجربہ کیا۔ ہم نے جو پایا وہ یہ ہے کہ CI/CD پائپ لائنوں کو شاذ و نادر ہی لاگ ان کیا جاتا ہے اور ان کی نگرانی سافٹ ویئر کی تعمیر/مرتب کرنے کے کام کے علاوہ ہوتی ہے، اس لیے مجرموں کو پائپ لائن سے سمجھوتہ کرنے کے لیے اتنے محتاط یا نفیس ہونے کی ضرورت نہیں ہے۔

ٹی ایس: اس قسم کے حملے کتنے عام ہیں اور CI/CD پائپ لائنز حملے کی سطح کی کتنی وسیع نمائندگی کرتی ہیں؟

وی جی: خبروں میں حقیقی دنیا کے حملوں کی کئی مثالیں ہیں، جیسا کہ ذکر کیا گیا ہے۔ اور آپ اب بھی تلاش کر سکتے ہیں، مثال کے طور پر، انٹرنیٹ پر شوڈن کے ساتھ جینکنز کی مثالیں۔. SaaS کے ساتھ، مجرم رسائی حاصل کرنے کے لیے پاس ورڈز کی گنتی کر سکتے ہیں اور ان کی کوشش کر سکتے ہیں کیونکہ ان کے پاس ڈیفالٹ یا IP پابندیوں کے ذریعے ملٹی فیکٹر تصدیق فعال نہیں ہے، اور وہ انٹرنیٹ کا سامنا کر رہے ہیں۔

دور دراز کے کام کے ساتھ، پائپ لائنوں کو محفوظ کرنا اور بھی مشکل ہے کیونکہ ڈویلپرز کہیں سے بھی اور کسی بھی وقت رسائی چاہتے ہیں، اور IP پابندیاں اب ممکن نہیں ہیں کیونکہ کمپنیاں زیرو ٹرسٹ نیٹ ورکنگ کی طرف بڑھ رہی ہیں یا نیٹ ورک کے مقامات کو تبدیل کر رہی ہیں۔

پائپ لائنز کو عام طور پر متعدد ماحول تک نیٹ ورک تک رسائی حاصل ہوتی ہے (جو انہیں نہیں ہونا چاہئے)، اور مختلف ٹولز اور ماحول کے لیے متعدد اسناد تک رسائی ہوتی ہے۔ وہ آن پریم اور کلاؤڈ، یا پروڈکشن اور ٹیسٹ سسٹم کے درمیان ایک پل کا کام کر سکتے ہیں۔ یہ ایک بہت وسیع حملے کی سطح ہو سکتی ہے اور حملے متعدد جگہوں سے ہو سکتے ہیں، یہاں تک کہ وہ بھی جن کا خود پائپ لائن سے کوئی تعلق نہیں ہے۔ بلیک ہیٹ میں، ہم دو منظرنامے پیش کر رہے ہیں جہاں ہم نے اصل میں ویب ایپلیکیشن ٹیسٹنگ کے ساتھ آغاز کیا تھا۔

TS: کیوں CI/CD پائپ لائنز کمپنیوں کے لیے سیکیورٹی بلائنڈ اسپاٹ بنی ہوئی ہیں؟

وی جی: زیادہ تر وقت کی کمی، بعض اوقات لوگوں کی کمی اور بعض صورتوں میں علم کی کمی کی وجہ سے۔ CI/CD پائپ لائنز اکثر ڈویلپرز یا IT ٹیموں کے ذریعہ محدود وقت کے ساتھ اور رفتار اور ترسیل پر توجہ کے ساتھ بنائی جاتی ہیں، یا ڈویلپرز صرف کام سے زیادہ بوجھ میں ہوتے ہیں۔

CI/CD پائپ لائنز بہت یا انتہائی پیچیدہ ہو سکتی ہیں اور ان میں سینکڑوں ٹولز شامل ہو سکتے ہیں، متعدد ماحول اور رازوں کے ساتھ تعامل کر سکتے ہیں، اور متعدد افراد استعمال کر سکتے ہیں۔ کچھ لوگوں نے ان ٹولز کی متواتر جدول کی نمائندگی بھی بنائی جو پائپ لائن میں استعمال کی جا سکتی ہیں۔

اگر کوئی کمپنی اپنے استعمال کردہ پائپ لائن اور معاون ماحول کے لیے خطرہ کا نمونہ بنانے کے لیے وقت مختص کرتی ہے، تو وہ ماحول، حدود، اور رازوں کے درمیان تعلق اور حملے کہاں ہو سکتے ہیں دیکھیں گے۔ خطرے کے ماڈل کو بنانا اور اسے مسلسل اپ ڈیٹ کرنا چاہیے، اور اس میں وقت لگتا ہے۔

ٹی ایس: پائپ لائنوں کی حفاظت کے لیے کچھ بہترین طریقے کیا ہیں؟

وی جی: نیٹ ورک سیگمنٹیشن کا اطلاق کریں، کردار سازی کے لیے کم سے کم استحقاق کے اصول کا استعمال کریں، راز کے انتظام میں کسی راز کے دائرہ کار کو محدود کریں، سیکیورٹی اپ ڈیٹس کو کثرت سے لاگو کریں، نمونے کی تصدیق کریں، اور کنفیگریشن تبدیلیوں کی نگرانی کریں اور ان پر الرٹ رہیں۔

ٹی ایس: کیا کوئی اور خیالات ہیں جو آپ شیئر کرنا چاہیں گے؟

وی جی: اگرچہ کلاؤڈ-آبائی یا کلاؤڈ-بیسڈ CI/CD پائپ لائنز زیادہ آسان ہیں، لیکن ہم نے پھر بھی وہی یا اس سے ملتے جلتے مسائل دیکھے جیسے زیادہ اجازت دینے والے کردار، کوئی تقسیم نہیں، حد سے زیادہ اسکوپ والے راز، اور انتباہ کی کمی۔ کمپنیوں کے لیے یہ یاد رکھنا ضروری ہے کہ ان کی کلاؤڈ میں بھی سیکیورٹی کی ذمہ داریاں ہیں۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا