Black Hat 2022 大会焦点:软件供应链安全
编译:代码卫士
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
以往,黑帽大会及其姐妹会议 DEF CON 以高层次的硬件和软件利用而频上头条。除上述内容外,今年举行的第25届黑帽大会将讨论针对支持现代 DevOps 组织机构的开发人员、开源模块和底层基础设施。这些演讲标志着威胁局面的转变以及软件供应链面临的越来越多的安全威胁。
黑帽大会发布了《供应链和云安全风险是首要考虑》的调查报告。180多名经验丰富的网络安全专业人员的研究结果表示,针对云服务的攻击、勒索软件和全球供应链风险最令人担忧。
2021年是供应链攻击之年,组织机构了解到全球供应链可被滥用于攻陷大量受害者。当问到供应链以及厂商和客户之间的关系时,53%的受访人员表示,由第三方提供商向所在企业提供的云服务或网络服务中的漏洞是最担心的网络安全问题;同样比例的受访人员认为,由合同承包商、供应商和客户维护的系统、应用程序和网络中的漏洞是最令人担心的;34%的受访者认为从第三方购买的系统中现成可用软件中的漏洞是最关心的两大问题之一;26%的受访人员表示最担心的是位于开源组件所引入商业软件或云服务中的漏洞。
与2021年的黑帽大会参会人员调查报告显示,担心第三方系统和应用程序中的漏洞、云服务或网络服务中的漏洞和现成可用软件中的漏洞的受访人员比例分别是60%、55%和47%。这一结果与61%的安全专业人员担心微软 Exchange 和其它现成可用应用程序中的漏洞这一结果一致。
当提到当前面临的最大的威胁和挑战时,39%的参会人员表示最担心的是:钓鱼攻击和其它形式的社工攻击 (39%),具有针对性的复杂攻击 (35%),针对供应商、合同承包商或其它合作伙伴等的攻击 (28%),以及云服务提供商的潜在攻陷 (26%)。
几年来,勒索软件从以加密数据交换勒索金演变为破坏系统或擦除数据的复杂攻击。59%的受访人员认为,近两年来自己所在组织机构遭受的勒索威胁在增多。虽然遭受的攻击在增多,但96%的安全专业人员表示已能够成功拦截或将勒索攻击的影响最小化。
如下是本次大会与软件开发和供应链风险相关的演讲和部分相关主题。
今年大会的一个很明确的主题是DevOps 组织机构使用的工具和平台的安全性,很多演讲解决的是闭源和开源软件的源代码管理系统中的威胁问题。
例如,NCC Group 公司的研究人员的演讲“RCE即服务:从五年真实CI/CD管道攻陷事件中获得的经验教训”,讲述了自己多年来在多家规模不一的企业中测试开发团队安全性的工作。他们将CI/CD管道称为“软件供应链中最危险的潜在攻击面”,认为这些开发平台是任何企业IT基础设施中的“明珠”,使得攻击者能将本意在加速软件开发的工具转变为恶意的“远程代码执行即服务”平台。另外,他们还讨论了抵御CI/CD管道遭攻击的最佳方法。
IBM X-Force 团队的研究员围绕“DevOps 环境中的威胁”主题,挖掘了源代码管理系统如 GitHub Enterprise、GitLab Enterprise 和 Bitbucket 等可遭攻击和攻陷的多种方式。
Hawkin 的演讲题目为“控制来源:滥用源代码管理系统”,讲述了可导致恶意人员访问SCM系统的多种攻击场景。他还发布了便于实施SCM攻击如侦察、用户角色操纵、仓库接管和用户模拟等的开源工具,以及给出如何抵御SCM系统攻击的指南。
鉴于软件行业在开发过程中对开源组件的严重依赖,以及通过开源平台和代码进行攻击变得普遍,开源网络风险是本次大会的另外一个中心议题。例如,Synopsys 公司发现,2021年平均每款软件应用依赖于500多个开源库和组件,近两年来增加了77%。攻击者也注意到了这一点,很多攻击针对的是严重依赖于开源仓库如 PyPi 和 npm。
黑帽大会注意到了这一点,多个演讲探索的正是开源代码带来的风险以及如何进行修复。
例如,三名研究员 Jonathan Leitschuh、Patrick Way 和 Shyam Mehta 在演讲中试图解决开源安全中的一个关键问题:如何批量从安全响应角度应对大规模开源平台如GitHub 等带来的挑战。虽然现代工具可能允许我们自动化漏洞扫描和识别工作,但结果往往使安全人员不得不担负评估、分类和响应大量已识别缺陷的压力。为此,他们提出了一种解决方案:自动化批量拉取请求生成以及使用工具如OpenRewrite来进行大规模的安全响应。
另外,随着企业在大规模的开源代码仓库中使用人工智能,期待有一天开发编程机器人取代开发人员,纽约大学和卡尔加里大学的研究员给出演讲“‘配对’审查的必要性:GitHub Copilot 做出的易受攻击代码贡献”,分析了Copilot 的输出。这款基于AI的配对机器人基于开源的GitHub代码训练深度学习模型。然而,研究人员发现很多代码“写得不好”。另外,微软基于AI的推特聊天机器人表明,人工智能在吸收输入和梳理模式方面很优秀,但在评估所获得信息的底层质量方面非常糟糕。
对Copilot 代码的分析发现很多常见缺陷,如SQL注入、缓冲区溢出和释放后使用漏洞等。实际上,在89个不同场景通过 Copilot AI生成的1689条建议中,大约40%的建议易受攻击。当然,这一演讲说明开发组织机构应将低层次的编码工作交给机器人,但GitHub 仓库中存在高密度的缺陷也是组织机构需要特别注意的,它们应当在依赖关系创建之前而不是创建之后,评估开源组件的质量和稳定性。
DevOps 安全房间中的大象(即非常显而易见但一直被忽略的问题),当然是开发人员本身。虽然源代码分析工具能够改进专有和开源代码的安全性评估,漏洞扫描可以识别出所开发代码中的缺陷和弱点,但最佳安全“修复方案”源自更好地编写的高质量代码。
而这就是Adam Shostack 在演讲中提到的。他是一名在威胁建模、安全开发和DevOps方面的专家,讲述了很多组织机构在培训开发人员使其在不牺牲其它优先事项的情况下安全编码时面临的“好高骛远”的问题。在演讲中他提到组织机构应如何衡量对开发人员的安全培训效果。培训的目的不是出品“绝地武士般质量”的安全编码开发人员,而是提升开发人员的安全意识和技能,减少困扰所开发应用程序的常见且普遍的安全问题。他指出,“反叛不是由一个绝地武士实施的。”为此,他提到应提供“知识脚手架和分层学习方法”,扩展到开发组织机构中。
Solana 区块链平台疑遭供应链攻击,价值数百万美元的密币遭洗劫
开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞
Juniper Networks修复200多个第三方组件漏洞
PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点
开源项目 Parse Server 出现严重漏洞,影响苹果 Game Center
奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖
热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥
趁机买走热门包唯一维护人员的邮件域名,我差点发动npm 软件供应链攻击
和GitHub 打官司?热门包 SheetJS出走npmjs.com转向自有CDN
不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环
NPM流行包再起波澜:维护人员对俄罗斯用户发特定消息,谁来保证开源可信?
200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击
NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100
热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分
https://securityboulevard.com/2022/08/software-supply-chain-security-takes-center-stage-at-black-hat-2022/
https://www.helpnetsecurity.com/2022/08/08/what-black-hat-usa-2022-attendees-are-concerned-about/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。