0
0
Os ataques à cadeia de fornecimento de software cresceram mais de 300% em 2021 em relação a 2020, de acordo com um estudo da Argon Security.
De acordo com o estudo, os pesquisadores descobriram que os atacantes se concentraram mais fortemente em vulnerabilidades de código aberto e envenenamento, problemas de integridade de código e exploração do processo de cadeia de suprimentos de software e confiança dos fornecedores para distribuir malware ou backdoors. Eles descobriram que o nível de segurança em ambientes de desenvolvimento de software permanece baixo e, significativamente, todas as empresas avaliadas tinham vulnerabilidades e configurações erradas que podem expô-los a ataques na cadeia de suprimentos.
Os resultados foram baseados em uma análise de seis meses das avaliações de segurança do cliente conduzidas pelos pesquisadores da Argon para determinar o estado de segurança corporativa e prontidão para se defender contra ataques na cadeia de fornecimento de software.
“O número de ataques no último ano e o impacto generalizado de um único ataque destacam o enorme desafio que as equipes de segurança de aplicativos estão enfrentando”, disse Eran Orzel,diretor sênior de sucesso e vendas do cliente Argon. “Infelizmente, a maioria das equipes não tem recursos, orçamento e conhecimento para lidar com os ataques da cadeia de suprimentos. Some-se a isso o fato de que para abordar este vetor de ataque as equipes do AppSec precisam de cooperação das equipes de desenvolvimento e DevOps, e você pode entender por que este é um desafio difícil de superar.”
Três áreas primárias de risco
1. Uso de pacotes vulneráveis: O código-fonte aberto faz parte de quase todos os softwares comerciais. Muitos dos pacotes de código aberto em uso têm vulnerabilidades existentes, e o processo de atualização para uma versão mais segura requer esforço do desenvolvimento e das equipes de DevOps. Não surpreende que este seja um dos métodos que mais crescem para realizar ataques na cadeia de suprimentos. Existem dois ataques comuns que aproveitam pacotes vulneráveis:
- Explorando vulnerabilidades existentes — Explorando as vulnerabilidades existentes dos pacotes para obter acesso ao aplicativo e executar o ataque. (Exemplo: os recentes ataques cibernéticos Log4j)
- Envenenamento por pacotes — Plantando código malicioso em pacotes de código aberto populares e pacotes privados para enganar desenvolvedores ou ferramentas automatizadas de pipeline para incorporá-los como parte do processo de construção de aplicativos. (Exemplo: o envenenamento do pacote us-parser-js)
2. Ferramentas de pipeline comprometidas: Os atacantes podem aproveitar o acesso privilegiado, configurações erradas e vulnerabilidades na infraestrutura de pipeline CI/CD (por exemplo, sistema de gerenciamento de código-fonte, agente de compilação, registros de pacotes e dependências de serviços), que fornecem acesso a infraestrutura crítica de TI, processos de desenvolvimento, código-fonte e aplicativos.
Um pipeline de CI/CD comprometido pode expor o código fonte de um aplicativo, que é o projeto do aplicativo, a infraestrutura de desenvolvimento e os processos. Ele permite que os invasores alterem código ou injetem código malicioso durante o processo de compilação e alterem o aplicativo (por exemplo, SolarWinds).
This type of breach is hard to identify and can cause a lot of damage before it is detected and resolved. Attackers also use compromised package registries to upload compromised artifacts instead of legitimate ones. In addition, there are dozens of external dependencies connected to the pipeline that can be used to access it and launch attacks (e.g., Codecov).
3. Integridade de código/artefato: Uma das principais áreas de risco identificadas na pesquisa de Argon é o upload de código ruim para repositórios de código-fonte, o que impacta diretamente na qualidade do artefato e na postura de segurança. Questões comuns encontradas na maioria dos ambientes de clientes foram dados confidenciais em códigos (segredos), problemas de qualidade e segurança de código, infraestrutura como problemas de código, vulnerabilidades de imagem de contêiner e configurações erradas. Em muitos casos, o número de problemas descobertos foi avassalador e exigiu projetos de limpeza dedicados para reduzir a exposição, como limpeza secreta, padronização da imagem do contêiner e outros.
“O processo de cadeia de fornecimento de software é um componente central do moderno ciclo de vida de desenvolvimento de aplicativos. Deixando este vetor de ataque amplo aberto, ameaça reduzir severamente a postura de segurança de aplicativos das empresas, potencialmente expondo dados confidenciais e criando pontos de entrada adicionais no aplicativo em tempo de execução”, disse Orzel. “Em muitos casos, não há visibilidade para as equipes de segurança nesse processo até que seja tarde demais, pois a maioria das empresas não tem capacidades preventivas dentro das ferramentas e processos de CI/CD.”
Protegendo a cadeia de fornecimento de software
Para combater o problema, as equipes de segurança precisam reforçar a colaboração com as equipes da DevOps e implementar a automação de segurança dentro dos processos de desenvolvimento. As organizações devem adotar novas soluções de segurança projetadas para proteger o processo de desenvolvimento de software contra essa nova onda de ataques sofisticados.
FONTE: HELPNET SECURITY