Các nhà nghiên cứu cho biết, các đường ống tích hợp liên tục / phát triển liên tục (CI / CD) có thể là bề mặt tấn công tiềm ẩn nguy hiểm nhất của chuỗi cung ứng phần mềm, khi những kẻ tấn công mạng tăng cường quan tâm đến việc dò tìm điểm yếu.
Bề mặt tấn công cũng đang phát triển: các đường ống CI / CD ngày càng trở thành vật cố định trong các nhóm phát triển phần mềm doanh nghiệp, những người sử dụng chúng để xây dựng, kiểm tra và triển khai mã bằng các quy trình tự động. Tuy nhiên, việc cấp phép quá mức, thiếu phân đoạn mạng cũng như quản lý các bản vá và bảo mật kém làm ảnh hưởng đến việc triển khai của chúng, tạo cơ hội cho bọn tội phạm thỏa hiệp để chúng tự do di chuyển giữa các môi trường tại chỗ và đám mây.
Tại Black Hat USA vào thứ Tư, ngày 10 tháng XNUMX, Iain Smart và Viktor Gazdag của công ty tư vấn bảo mật NCC Group sẽ lên sân khấu trong thời gian “RCE-as-a-Service: Bài học rút ra từ 5 năm Thỏa hiệp đường ống CI / CD trong thế giới thực, ”Để thảo luận về hàng loạt các cuộc tấn công chuỗi cung ứng thành công mà họ đã thực hiện trong các đường ống CI / CD sản xuất cho hầu hết mọi công ty mà công ty đã thử nghiệm.
NCC Group đã giám sát hàng chục thỏa hiệp thành công các mục tiêu, từ các doanh nghiệp nhỏ đến các công ty nằm trong danh sách Fortune 500. Ngoài lỗi bảo mật, các nhà nghiên cứu cho biết việc lạm dụng mới các chức năng dự kiến trong các đường ống tự động đã cho phép họ chuyển đổi các đường ống từ một tiện ích đơn giản dành cho nhà phát triển thành thực thi mã từ xa (RCE) -as-a-service.
“Tôi hy vọng mọi người sẽ yêu thích hơn các đường ống CI / CD của họ và áp dụng tất cả hoặc ít nhất một hoặc hai đề xuất từ phiên họp của chúng tôi,” Gazdag nói. “Chúng tôi cũng hy vọng điều này sẽ khơi dậy nhiều nghiên cứu bảo mật hơn về chủ đề này.”
Tara Seals, biên tập viên phụ trách mảng tin tức của Dark Reading, đã ngồi lại với Viktor Gazdag, chuyên gia tư vấn bảo mật quản lý của NCC Group, để tìm hiểu thêm.
Con dấu Tara: Một số điểm yếu bảo mật phổ biến hơn trong đường ống CI / CD là gì và chúng có thể bị lạm dụng như thế nào?
Viktor Gazdag: Chúng tôi thường xuyên thấy ba điểm yếu bảo mật phổ biến cần được chú ý nhiều hơn:
1) Thông tin xác thực được mã hóa cứng trong Hệ thống kiểm soát phiên bản (VCS) hoặc Quản lý kiểm soát nguồn (SCM).
Chúng bao gồm các tập lệnh shell, tệp đăng nhập, thông tin xác thực được mã hóa cứng trong tệp cấu hình được lưu trữ ở cùng một nơi với mã (không riêng biệt hoặc trong các ứng dụng quản lý bí mật). Chúng tôi cũng thường tìm thấy mã thông báo truy cập vào các môi trường đám mây khác nhau (phát triển, sản xuất) hoặc các dịch vụ nhất định trong đám mây như SNS, Cơ sở dữ liệu, EC2, v.v.
Chúng tôi cũng vẫn tìm thấy thông tin xác thực để truy cập cơ sở hạ tầng hỗ trợ hoặc vào đường ống CI / CD. Một khi kẻ tấn công có quyền truy cập vào môi trường đám mây, chúng có thể liệt kê các đặc quyền của mình, tìm kiếm các cấu hình sai hoặc cố gắng nâng cao các đặc quyền của chúng khi chúng đã ở trên đám mây. Với quyền truy cập vào đường ống CI / CD, họ có thể xem lịch sử xây dựng, truy cập vào các hiện vật và bí mật đã được sử dụng (ví dụ: công cụ SAST và các báo cáo của nó về lỗ hổng hoặc mã thông báo truy cập đám mây) và trong các tình huống xấu nhất, đưa mã tùy ý (backdoor, SolarWinds) vào ứng dụng sẽ được biên dịch hoặc có được quyền truy cập hoàn toàn vào môi trường sản xuất.
2) Các vai trò quá dễ dãi.
Các nhà phát triển hoặc tài khoản dịch vụ thường có vai trò được liên kết với tài khoản của họ (hoặc có thể đảm nhận một vai trò) có nhiều quyền hơn mức cần thiết để thực hiện công việc được yêu cầu.
Họ có thể truy cập nhiều chức năng hơn, chẳng hạn như cấu hình hệ thống hoặc các bí mật trong phạm vi cả môi trường sản xuất và phát triển. Họ có thể vượt qua các biện pháp kiểm soát bảo mật, chẳng hạn như sự chấp thuận của các nhà phát triển khác hoặc sửa đổi đường dẫn và loại bỏ bất kỳ công cụ SAST nào có thể giúp tìm kiếm lỗ hổng bảo mật.
Vì các đường ống có thể truy cập các môi trường triển khai sản xuất và thử nghiệm, nếu không có sự phân đoạn giữa chúng, thì chúng có thể hoạt động như một cầu nối giữa các môi trường, ngay cả giữa tại chỗ và đám mây. Điều này sẽ cho phép kẻ tấn công vượt qua tường lửa hoặc bất kỳ cảnh báo nào và tự do di chuyển giữa các môi trường mà nếu không sẽ không thể thực hiện được.
3) Thiếu kiểm tra, giám sát và cảnh báo.
Đây là khu vực bị bỏ qua nhiều nhất và 90% thời gian chúng tôi nhận thấy thiếu giám sát và cảnh báo về bất kỳ sửa đổi cấu hình hoặc quản lý người dùng / vai trò nào, ngay cả khi đã bật hoặc bật tính năng kiểm tra. Điều duy nhất có thể được giám sát là biên dịch hoặc xây dựng công việc thành công hay không thành công.
Có nhiều vấn đề bảo mật phổ biến hơn, chẳng hạn như thiếu phân đoạn mạng, quản lý bí mật và quản lý bản vá, v.v., nhưng ba ví dụ này là điểm khởi đầu của các cuộc tấn công, được yêu cầu để giảm thời gian phát hiện vi phạm trung bình hoặc điều quan trọng là phải hạn chế bán kính vụ nổ tấn công.
TS: Bạn có bất kỳ ví dụ cụ thể nào trong thế giới thực hoặc các tình huống cụ thể mà bạn có thể chỉ ra không?
VG: Một số cuộc tấn công trong tin tức liên quan đến CI / CD hoặc các cuộc tấn công đường ống bao gồm:
- Cuộc tấn công CCleaner, Tháng 3 2018
- Homebrew, tháng 2018 năm XNUMX
- Asus Bóng Búa, Tháng 3 2019
- CircleCI vi phạm bên thứ ba, tháng 2019 năm XNUMX
- SolarWinds, Tháng 12 2020
- Tập lệnh trình tải lên bash của Codecov, tháng 2021 năm XNUMX
- Truy cập trái phép vào bí mật của TravisCI, tháng 2021 năm XNUMX
TS: Tại sao các điểm yếu trong đường ống tự động lại có vấn đề? Bạn sẽ mô tả rủi ro đối với công ty như thế nào?
VG: Có thể có hàng trăm công cụ được sử dụng trong các bước đường ống và do đó, kiến thức to lớn mà ai đó cần biết là rất lớn. Ngoài ra, các đường ống có quyền truy cập mạng vào nhiều môi trường và nhiều thông tin xác thực cho các công cụ và môi trường khác nhau. Có được quyền truy cập vào các đường ống giống như nhận được một vé đi lại miễn phí cho phép những kẻ tấn công truy cập vào bất kỳ công cụ hoặc môi trường nào khác được liên kết với đường ống.
TS: Một số kết quả tấn công mà các công ty có thể phải gánh chịu nếu kẻ thù phá hoại thành công đường ống CI / CD là gì?
VG: Kết quả của cuộc tấn công có thể bao gồm ăn cắp mã nguồn hoặc dữ liệu trí tuệ, sao lưu một ứng dụng được triển khai cho hàng nghìn khách hàng (như SolarWinds), giành quyền truy cập (và tự do di chuyển giữa) nhiều môi trường như phát triển và sản xuất, cả tại chỗ hoặc trong đám mây hoặc cả hai.
TS: Đối thủ cần phải tinh vi đến mức nào để xâm phạm một đường ống?
VG: Những gì chúng tôi đang trình bày tại Black Hat không phải là lỗ hổng zero-day (mặc dù tôi đã tìm thấy một số lỗ hổng trong các công cụ khác nhau) hoặc bất kỳ kỹ thuật mới nào. Tội phạm có thể tấn công các nhà phát triển thông qua lừa đảo (chiếm quyền điều khiển phiên, bỏ qua xác thực đa yếu tố, đánh cắp thông tin xác thực) hoặc đường ống CI / CD trực tiếp nếu nó không được bảo vệ và sử dụng Internet.
NCC Group thậm chí còn thực hiện các đánh giá bảo mật khi chúng tôi thử nghiệm các ứng dụng Web ban đầu. Những gì chúng tôi phát hiện ra là các đường ống CI / CD hiếm khi được ghi lại và theo dõi bằng cảnh báo, ngoài công việc biên dịch / xây dựng phần mềm, vì vậy bọn tội phạm không cần phải cẩn thận hoặc tinh vi để xâm phạm một đường ống.
TS: Mức độ phổ biến của các kiểu tấn công này và bề mặt tấn công mà đường ống CI / CD thể hiện như thế nào?
VG: Có một số ví dụ về các cuộc tấn công trong thế giới thực trong bản tin, như đã đề cập. Và bạn vẫn có thể tìm thấy, chẳng hạn như Các trường hợp Jenkins với Shodan trên Internet. Với SaaS, bọn tội phạm có thể liệt kê và cố gắng sử dụng mật khẩu cưỡng bức để có quyền truy cập vì chúng không được kích hoạt xác thực đa yếu tố theo mặc định hoặc hạn chế IP và sử dụng Internet.
Với công việc từ xa, các đường ống thậm chí còn khó bảo mật hơn vì các nhà phát triển muốn truy cập từ bất cứ đâu và bất cứ lúc nào và các hạn chế IP không còn khả thi nữa khi các công ty đang hướng tới mạng không tin cậy hoặc thay đổi vị trí mạng.
Các đường ống thường có quyền truy cập mạng vào nhiều môi trường (mà chúng không nên làm) và có quyền truy cập vào nhiều thông tin xác thực cho các công cụ và môi trường khác nhau. Chúng có thể hoạt động như một cầu nối giữa hệ thống tại chỗ và đám mây, hoặc các hệ thống sản xuất và thử nghiệm. Đây có thể là một bề mặt tấn công rất rộng và các cuộc tấn công có thể đến từ nhiều nơi, ngay cả những nơi không liên quan gì đến bản thân đường ống. Tại Black Hat, chúng tôi trình bày hai tình huống mà ban đầu chúng tôi bắt đầu với thử nghiệm ứng dụng Web.
TS: Tại sao các đường ống CI / CD vẫn là một điểm mù an ninh cho các công ty?
VG: Chủ yếu là do thiếu thời gian, đôi khi là thiếu người và một số trường hợp là do thiếu kiến thức. Các đường ống CI / CD thường được tạo bởi các nhà phát triển hoặc nhóm CNTT với thời gian hạn chế và tập trung vào tốc độ và phân phối, hoặc các nhà phát triển chỉ đơn giản là quá tải với công việc.
Các đường ống CI / CD có thể rất hoặc cực kỳ phức tạp và có thể bao gồm hàng trăm công cụ, tương tác với nhiều môi trường và bí mật và được nhiều người sử dụng. Một số người thậm chí còn tạo ra một biểu diễn bảng tuần hoàn của các công cụ có thể được sử dụng trong một đường ống.
Nếu một công ty phân bổ thời gian để tạo mô hình mối đe dọa cho đường ống mà họ sử dụng và các môi trường hỗ trợ, họ sẽ thấy mối liên hệ giữa các môi trường, ranh giới và bí mật và nơi các cuộc tấn công có thể xảy ra. Việc tạo và cập nhật liên tục mô hình mối đe dọa nên được thực hiện và cần có thời gian.
TS: Một số phương pháp hay nhất để tăng cường an ninh cho đường ống là gì?
VG: Áp dụng phân đoạn mạng, sử dụng nguyên tắc đặc quyền tối thiểu để tạo vai trò, giới hạn phạm vi bí mật trong quản lý bí mật, áp dụng các bản cập nhật bảo mật thường xuyên, xác minh tạo tác, theo dõi và cảnh báo về các thay đổi cấu hình.
TS: Có bất kỳ suy nghĩ nào khác mà bạn muốn chia sẻ không?
VG: Mặc dù đường ống CI / CD dựa trên đám mây hoặc dựa trên đám mây đơn giản hơn, nhưng chúng tôi vẫn thấy các vấn đề tương tự hoặc tương tự như vai trò được cho phép quá mức, không có phân đoạn, bí mật quá phạm vi và thiếu cảnh báo. Điều quan trọng là các công ty phải nhớ rằng họ cũng có trách nhiệm bảo mật trên đám mây.
