Начало 2021 года продолжает «радовать» нас кейсами атак на цепочку поставок – Suply Chain Attack. Злоумышленники явно распробовали этот путь массового взлома и активно его эксплуатируют. Так, в апреле раскрылось еще как минимум два инцидента:
-
Взлом инструмента для разработки ПО Codecov Bash Uploader.
-
Компрометация ПО для управления паролями PasswordState компании Click Studios.
Основная сложность атаки такого типа – это ее обнаружение, а риск – то, что заражение происходит для условно доверенного ПО, имеющего внутри организации определенные допуски, что чревато крупными утечками, массовой компрометацией данных для авторизации и аутентификации и другими деструктивными последствиями.
Взлом инструмента Codecov Bash Uploader повлек за собой утечку секретов и учетных данных множества организаций во всем мире. При этом на его обнаружение ушло более 3 месяцев, и произошло оно благодаря сравнению одним из пользователей инструмента и обнаружению разницы между обозначенной на ресурсе GitHub и фактической после загрузки пакета хэш-суммой.
Проведенное разработчиками расследование показало, что благодаря ошибке в используемом Codecov процессе создания Docker образа, злоумышленники смогли получить учетные данные, достаточные для изменения скрипта Bash Uploader. И далее злоумышленники с 31 января 2021 г. прибегали к периодическому доступу и изменению Bash Uploader скрипта, что позволяло им потенциально экспортировать информацию, хранящуюся в средах непрерывной интеграции (CI) наших пользователей.
Получаемая информация отправлялась на сторонний сервер за пределами инфраструктуры Codecov. Bash Uploader также используется в данных связанных загрузчиков: загрузчик Codecov-actions для Github, Codecov CircleCl Orb и Codecov Bitrise Step. Таким образом это событие также повлияло и на связанные загрузчики.
Измененная версия скрипта Bash Uploader потенциально может повлиять на:
-
Любые учетные данные, токены или ключи, которые наши клиенты передают через свой сервер CI, которые доступны при выполнении сценария Bash Uploader.
-
Любые службы, хранилища данных и коды приложений, к которым можно получить доступ с помощью этих учетных данных, токенов или ключей.
-
Удаленная информация git репозиториев (URL-адрес исходного репозитория), использующих Bash Uploader для загрузки покрытия (coverage) в Codecov в CI.
Компрометация клиентов Click Studios произошла через подмену обновления Passwordstate_upgrade.zip и таким образом установки зараженной версии ПО Passwordstate. После подмены хакеры получают доступ ко всем сохраненным в менеджере паролям и возможность дальнейшего контроля ПО и вредоносной активности.
«Риски атак на цепочку поставок всегда существовали, но были сложны в реальной оценке. Теперь благодаря целой череде наглядных кейсов мы можем наблюдать массовый характер деструктивности последствий этого типа атак и реальность их рисков», – объясняет Анна Михайлова, менеджер по развитию бизнеса группы компаний Angara.
Тем, кто непосредственно пострадал от конкретно этих компрометаций рекомендуется:
-
Немедленно перевыпустить и изменить все свои учетные данные, токены или ключи, расположенные в переменных среды в их процессах CI, которые использовали Bash Uploader от Codecov. Или учетные данные в инструменте Passwordstate. Инструкция по выявлению потенциально затронутых Bash Uploader учетных данных размещена на ресурсе разработчика: https://about.codecov.io/security-update/.
-
Заменить скомпрометированное ПО на исправленную версию.
-
Осуществлять контроль хэш-сумм для интегрируемых внешних пакетов и зависимостей.
Для системного повышения информационной безопасности процесса разработки и микросервисной архитектуры эксперты группы компаний Angara рекомендуют использование инструментов мониторинга и аудита контейнерной инфраструктуры, микросервисов и их зависимостей, интегрированных в ваши инструменты и окружение DevOps. Они в том числе выполняют:
-
Сканирование и мониторинг целостности образа контейнера и защита популярных частных и облачных реестров, в том числе в зависимости от конкретной реализации решения, это: Docker Trusted Registry, Amazon Elastic Container Registry, Azure Container Registry, Google container Registry.
-
Поиск и обнаружение вредоносных программ и уязвимостей образов, выявление проблем соответствия, с графическим отображением всех параметров на панелях мониторинга, ведением журналов и выводом уведомлений.
-
Защита среды выполнения контейнера, мониторинг концепции неизменности контейнера, защита ОС материнского хоста, решение проблем оркестровки.
-
Непрерывная защита с постоянными обновлениями индикаторов компрометации.
Эксперты группы компаний Angara рекомендуют следующие решения в части защиты контейнерных реализаций:
-
Palo Alto Twistlock,
-
Trend Micro Smart Check.
