- Aug 10, 2022

Kompromitovana spremišta izvornog koda ističu rizik lanca snabdevanja

Prema izveštaju učesnika Black Hat USA 2022, očekivano najveća briga IT profesionalaca su phishing i ciljani napadi (obično sa destruktivnim ransomverom). Međutim, sve veći procenat ispitanika sada vidi povećan rizik od napada na dobavljače, izvođače ili druge partnere.

Kompromitovanje dobavljača softvera je veoma vredno sa tačke gledišta napadača. Zamislite prodavca aplikacija koji prodaje, recimo, ERP aplikaciju hiljadama kupaca. Umetanje zlonamernog softvera u redovni paket ažuriranja takvog ERP-a omogućava napadaču trenutnu instalaciju malvera u hiljadama mreža različitih organizacija. Napadači sve više istražuju ove takozvane napade na lanac snabdevanja (eng. supply chain attack).

Primer uspešnog napada na lanac snabdevanja je Sunburst, počinjen protiv dobavljača softvera SolarWinds još 2020. Krivci su uspeli da ugroze interne servere za pravljenje softvera i umetnu backdoor u Orion, popularni alat za praćenje mreže SolarWinds-a. Ovo je zatim isporučeno kao paket ažuriranja (digitalno potpisan!) na približno 18.000 korisnika softvera SolarWinds (uključujući najveće kompanije Fortune 500 širom sveta).

Trenutno se čini da su napadači fokusirani na ubacivanje zlonamernog softvera u javna spremišta kodova koja sadrže biblioteke i komponente koje koriste hiljade programera.

Tako je nedavno Checkpoint identifikovao 10 zlonamernih paketa na PyPI, vodećem Python repozitorijumu.

Napadači će preuzeti ili čak oponašati repozitorijume koje sadrže popularne softverske pakete, kako bi prevarili programera da koristi lažnu, ali zlonamernu komponentu u svom kodu. Zlonamerna skripta ugrađena u paket će obično tražiti i prikupljati lozinke, ključeve i druge osetljive podatke koji se nalaze na računaru programera, čime će omogućiti dalje širenje i dodatno kompromitovanje drugih sistema.

Održavači PyPi-ja pokušali su da reše zlonamerno preuzimanje spremišta uvođenjem MFA autentifikacije. Međutim, ovo neće pomoći protiv lažnog predstavljanja: na primer, Sonatype je otkrio da je oko 300 programera preuzelo zlonamerni paket sa Cobalt Strike alatom pod nazivom „Pymafka“ iz PyPI registra, misleći da je to „PyKafka“, legitimna i široko preuzimana softverska komponenta.

Rešavanje rizika dobavljača aplikacija zahtevaće fokus i na strani dobavljača i na strani korisnika softvera.

Kompanije koje proizvode i prodaju softver će trebati pažljivije ispitivanje kada uključuju biblioteke trećih strana u proces proizvodnje softvera, posebno one koje potiču iz javnih skladišta. Korisnicima je, s druge strane, potrebno više uvida u realnom vremenu kada pokreću aplikacije na serverima i krajnjim uređajima. Rešenja koja predstavljaju prirodnu evoluciju antimalver softvera, Endpoint detection and Response (EDR/XDR), trebalo bi da ublaže bar neke od ovih rizika.