CircleCI、LastPass、Okta和Slack安全事件:攻击者正瞄准核心企业工具
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
1月初,开发管道服务提供商CircleCI 提醒用户称注意安全泄露事件,督促企业立即更改密码、SSH密钥和其它存储在该DevOps平台或由该平台管理的其它机密。调查结果显示,其工程师遭恶意软件感染但其反病毒软件并未检测出,导致基于2FA的SSO会话cookie被盗,公司内部系统遭访问。
这起事件导致CircleCI 立即判断事件影响范围、限制攻击者修改软件项目的能力并判断哪些开发机密受陷。与此同时,CircleCI更改了认证令牌、修改了配置变量、和其它提供商携手处理密钥过期事件并继续开展调查。
CircleCI 公司在上周发布的安全公告中指出,“目前,我们可以肯定地说,系统中并不存在越权方;然而,处于谨慎考虑,我们想要确保所有客户已采取某些防御措施,保护数据安全。”
CircleCI 受陷事件说明攻击者将注意力转向根本的企业服务。身份服务如Okta和LastPass 在去年披露了系统受陷事件,而开发者聚焦服务如Slack 和 GitHub也匆忙应对针对源代码和基础设施的攻击活动。
云安全公司F5的工程师兼布道者 Lori MacVittie指出,针对核心企业工具的攻击说明企业应当预料到这类提供商将来会变成常规目标。她表示,“随着我们越来越多地依赖于服务和软件进行自动化,从开发build到测试、部署等不一而足。这些服务成为具有吸引力的攻击面。我们认为它们并非攻击者的目标应用,但事实并非如此。”
最近,攻击者盯上了两种主要的服务类型:身份和访问管理系统以及开发者和应用基础设施。这两种服务类型增强了企业基础设施的重要方面。
NetWitness 公司的首席技术官 Ben Smith指出,身份是连接组织机构每部分以及该组织机构与合作伙伴以及客户之间的胶水。他指出,“不管你用的是什么产品和平台,攻击者认为比从事认证服务的组织机构更好的是为其它客户进行认证服务的组织机构。”
开发者服务和工具同时也成为遭攻击的另外一种企业服务。九月份,某威胁人员获得对Rockstar Games开发者Slack频道的访问权限,下载即将上线的Grand Theft Auto 6游戏的视频、截屏和代码。1月9日,Slack公司表示发现“数量有限的Slack员工令牌被盗且被滥用于访问外部托管的GitHub仓库。”
由于身份和开发者服务通常会访问大量企业资产如应用服务、运营、源代码等,攻陷这些服务可成为闯入公司其它部分的万能钥匙。
他提到,“它们是非常非常具有吸引力的目录,是唾手可得的。这些都是典型的供应链攻击,一种管道攻击,因为管道不是每天都能看到的。”
Bishop Fox 公司的管理顾问 Ben Lincoln指出,组织机构应当为最坏场景做好准备,并认识到不存在防御此类大规模、影响大的事件的简单方法。他提到,“防御措施的方法有很多,但确实存在一些费用。所以我能理解在事情变得明朗且必要之前,开发者不愿意执行这些方法的顾虑。”Lincoln 建议综合管理机密信息。企业应当能够“按下某个按钮”并修改所有必要的密码、秘钥和敏感的配置文件。你需要限制暴露,但如果存在泄露事件,那你希望可以按下某个按钮,立即修改所有凭据。企业应当提前做好规划并部署相关措施以防不时之需。”
组织机构还可以为攻击者设置陷阱。很多蜜罐类型的战略可使安全团队提前收到关于攻击者位于网络或服务中的警报。创建虚假的账户和凭据有助于检测威胁人员访问敏感资产的时间。
另外,企业需要部署零信任原则,不仅降低机器、软件和服务的攻击面,还应降低运营的攻击面。她提到,“从传统意义上来讲,运营是隐藏且安全的,因此企业不会太关注它们。应用程序和数字化服务当前的构建方式、运营涉及很多app到app、机器到app的身份,攻击者已开始认识到这些身份也是有价值的。”
速修复!这个严重的 Apache Struts RCE 漏洞补丁不完整
Apache Cassandra 开源数据库软件修复高危RCE漏洞
Apache Log4j任意代码执行漏洞安全风险通告第三次更新
PHP包管理器Composer组件 Packagist中存在漏洞,可导致软件供应链攻击
美国政府发布关于“通过软件安全开发实践增强软件供应链安全”的备忘录(全文)
OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节
美国政府发布联邦机构软件安全法规要求,进一步提振IT供应链安全
Apache开源项目 Xalan-J 整数截断可导致任意代码执行
Linux和谷歌联合推出安全开源奖励计划,最高奖励1万美元或更多
开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞
Juniper Networks修复200多个第三方组件漏洞
PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点
开源项目 Parse Server 出现严重漏洞,影响苹果 Game Center
奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖
热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥
趁机买走热门包唯一维护人员的邮件域名,我差点发动npm 软件供应链攻击
和GitHub 打官司?热门包 SheetJS出走npmjs.com转向自有CDN
不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环
NPM流行包再起波澜:维护人员对俄罗斯用户发特定消息,谁来保证开源可信?
200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击
NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100
热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分
原文链接:
https://www.darkreading.com/attacks-breaches/circleci-lastpass-okta-slack-cyberattackers-target-enterprise-tools
https://www.bleepingcomputer.com/news/security/circlecis-hack-caused-by-malware-stealing-engineers-2fa-backed-session/
题图:Pixabay License
转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。