Transcription

Sicherheit 2022: Darauf müssen Unternehmen vorbereitet seinSo wird Ihre Software-Lieferkette gehacktSupply-Chain-AttackenSo wird Ihre ttacken stehen bei Cyberkriminellen hoch im Kurs.Das sollten Sie zum Thema wissen.› (Software-)Supply-Chain-Attacken verteilen Schadcode über Kunden- und Partnernetzwerkeund können massiven Schaden verursachen. (Foto: fotogestoeber – shutterstock.com)Angriffe auf Software-Lieferketten haben dieses Jahr immer wieder für Schlagzeilengesorgt. Doch Supply-Chain-Attacke ist nicht gleich Supply-Chain-Attacke.Software-Supply-Chain-Attacke – DefinitionDer Begriff Supply-Chain-Attacke meint Angriffsszenarien, bei denen Cyberkriminelle in den Herstellungsprozess, beziehungsweise den Entwicklungslebenszykluseingreifen oder ihn kapern, so dass mehrere Endverbraucher des fertigen Produktsoder Dienstes nachteilig beeinflusst werden. Im Zusammenhang mit Softwareentwicklung kann das passieren, wenn:‹ 17

18›Sicherheit 2022: Darauf müssen Unternehmen vorbereitet seinSo wird Ihre Software-Lieferkette gehackt› Code-Bibliotheken oder einzelne Komponenten innerhalb eines Software-Builds verfälscht,› Software-Update-Binärdateien trojanisiert,› Code-Signatur-Zertifikate gestohlen oder› SaaS-Hostingserver kompromittiert werden.Bei jedem Angriff auf die Software-Lieferkette schalten sich die Angreifer dann entweder im Vorfeld oder in der Mitte der Lieferkette ein, um ihre maliziösen Aktivitäten und deren Folgen auf möglichst viele Benutzer loszulassen. Im Vergleich zuisolierten Sicherheitsverletzungen weisen erfolgreiche Supply-Chain-Angriffe im Regelfall ein wesentlich größeres Ausmaß als auch weitreichendere Auswirkungen auf.Supply-Chain-Angriffe – BeispieleDie folgenden sechs Beispiele zeigen, welche Methoden Cyberkriminelle bei Supply-Chain-Attacken in der Praxis eingesetzt haben.1. Upstream Server CompromiseBei den meisten Angriffen auf die Software-Lieferkette dringt ein Angreifer in einenUpstream-Server oder ein Code-Repository ein und injiziert bösartigen Code. DieseNutzlast wird dann nachgelagert an viele Benutzer verteilt. Aus technischer Sicht istdas jedoch nicht immer der Fall.Die Codecov-Supply-Chain-Attacke ist ein solches Beispiel. Obwohl der Vorfall oftmit dem SolarWinds-Angriff verglichen wird, gibt es gewichtige Unterschiede zwischen den beiden Vorfällen. Der Angriff auf die Lieferkette von SolarWinds war dasWerk raffinierter Bedrohungsakteure, die eine legitime Update-Binärdatei veränderten. Wie bereits von FireEye analysiert, lauert der bösartige Code dabei in einer gefälschten DLL. Diese Methode ruft die HTTP-basierte Backdoor auf, wenn die OrionSoftware das Inventory Manager Plugin lädt. Der SolarWinds-Upstream-Angriff kamjedoch erst voll zum Tragen, als die veränderte Binärdatei ihren Weg zu über 18.000SolarWinds-Kunden, darunter auch US-Regierungsbehörden, fand.Im Fall des schlagzeilenträchtigen Lieferkettenangriffs auf den US-IT-DienstleisterKaseya gelang es den Angreifern, verschiedene Zero Day Exploits in der IT-Management-Software VSA auszunutzen und so bösartige Updates – und damit dieREvil Ransomware – an die Kunden des Unternehmens zu verteilen. Bei diesen Kunden handelte sich vor allem um Managed Service Provider, die wiederum die Netzwerke hunderter Unternehmen betreuen:

Sicherheit 2022: Darauf müssen Unternehmen vorbereitet seinSo wird Ihre Software-Lieferkette gehacktIm Fall von Codecov wurde jedoch kein Schadcode per Downstream verteilt. DieAngreifer hatten sich über einen fehlerhaften Docker-Image-ErstellungsprozessZugangsdaten verschafft. Mit diesen gelan es ihnen dann, den Bash Uploader zumodifizieren, um Umgebungsvariablen zu sammeln, die von den CI/CD-Umgebungen der Kunden übertragen werden, wie es im offiziellen Security Advisory heißt.Tatsächlich sollen die Codecov-Angreifer Hunderte von Kundennetzwerken mit denZugangsdaten, die sie über den gehackten Bash Uploader gesammelt hatten, angegriffen haben. Kurze Zeit später gab HashiCorp bekannt, dass der Codecov-Vorfall zur Offenlegung seines privaten PGP-Schlüssels geführt hat. Dieser wird verwendet, um Softwarepakete zu signieren und verifizieren.2. Midstream Server CompromiseDer Begriff „Midstream“ bezieht sich auf Fälle, in denen Angreifer eine zwischengeschaltete Software-Upgrade-Funktionalität oder ein CI/CD-Tool kompromittierenund nicht die ursprüngliche Upstream-Quellcode-Basis. Letzten Monat informierteClick Studios, Hersteller des bei vielen Fortune-500-Unternehmen beliebten Passwort-Managers Passwordstate, seine Kunden über einen Supply-Chain-Angriff. Dabei missbrauchten die Angreifer die „In-Place-Upgrade“-Funktionalität, um bösartige Updates an Passwordstate-Benutzer zu verteilen. Die illegalen Updates enthielteine modifizierte DLL-Datei.In einem Sicherheitshinweis erklärte Click Studios: „Die Kompromittierung bestandetwa 28 Stunden lang. Wir nehmen an, dass nur Kunden betroffen sind, die In-Place-Upgrades zwischen den oben genannten Zeitpunkten durchgeführt haben. Manuelle Upgrades von Passwordstate sind nicht kompromittiert. Die Passwörter betroffener Kunden können abgegriffen worden sein.“Wenig überraschend folgten Phishing-Attacken gegen Click-Studios-Benutzer, indenen Angreifer Links zu einer aktualisierten Malware-Version einfügten. DieserAngriff auf die Lieferkette hatte nicht nur einen technischen (der Upgrade-Prozesswurde manipuliert), sondern auch einen Social-Engineering-Aspekt. Den Angreifern war es gelungen, die Benutzerhandbücher, Hilfedateien und PowerShell-Erstellungsskripte in der gefälschten Update-Zip-Datei so zu ändern, dass sie auf ihrenbösartigen CDN-Server verweisen.Das zeigt eine weitere Schwachstelle auf: Insbesondere neue Entwickler oder Software-Konsumenten stufen Links zu Content Distribution Networks (CDNs) nichtimmer als verdächtig ein. Schließlich nutzen Softwareanwendungen und WebsitesCDNs, um Updates, Skripte und andere Inhalte bereitzustellen. Kreditkarten-Skimming-Angriffe wie Magecart sind ein weiteres Beispiel für diese Art von Lieferkettenangriff. Bei einigen Angriffen wurden Amazon CloudFront CDN-Buckets kompromittiert, um den bösartigen JavaScript-Code an eine größere Anzahl von Web-‹ 19

20›Sicherheit 2022: Darauf müssen Unternehmen vorbereitet seinSo wird Ihre Software-Lieferkette gehacktsites zu verteilen, die auf solche CDNsangewiesen sind.3. Dependency-Confusion-AngriffeIhre simple und automatisierte Naturmachen Dependency-Confusion-Angriffe so gefährlich. Sie funktionierennämlich mit minimalem Aufwand aufSeiten des Angreifers und nutzen eineinhärente Designschwäche mehrererOpen-Source-Ökosysteme aus.Vereinfacht ausgedrückt, funktioniertDependency Confusion (oder Namespa› (Foto: RadiasaTutorial Rti – Vecteezy.com)ce Confusion), wenn ein Software-Buildeine private, intern erstellte Abhängigkeitverwendet, die nicht in einem öffentlichenRepository existiert. Ein Angreifer ist in der Lage, eine gleichnamige Abhängigkeitin einem öffentlichen Repository zu registrieren, mit einer höheren Versionsnummer.Dann wird sehr wahrscheinlich die (öffentliche) Abhängigkeit des Angreifers mit derhöheren Versionsnummer in Ihren Software-Build gezogen.Der Ethical Hacker Alex Birsan nutzte die Lücke in populären Ökosystemen wiePyPI, npm und RubyGems aus und war so in der Lage, sich in 35 große Tech-Unternehmen zu hacken. Wenige Tage nach der Veröffentlichung seiner Forschungsergebnisse wurden diverse Ökosysteme mit Nachahmerpaketen überflutet.Es gibt mehrere Möglichkeiten, das Verwirrspiel um Abhängigkeiten aufzulösen.Dazu gehört vor allem, die Namen all Ihrer privaten Abhängigkeiten in öffentlichenRepositories zu registrieren, bevor ein Angreifer das tut. Darüber hinaus empfiehltes sich, automatisierte Lösungen – beispielsweise eine Software Development Lifecycle Firewall – einzusetzen, die verhindern, dass widersprüchliche Abhängigkeiten Ihre Lieferkette beeinträchtigen.4. Gestohlene ZertifikateSSL/TLS-Zertifikate sind im Netz allgegenwärtig und schützen die Online-Kommunikation. Wird der private Schlüssel eines SSL-Zertifikats kompromittiert, wird darausnichts.Im Januar 2021 gab Mimecast bekannt, dass ein Zertifikat kompromittiert wurde, das von seinen Kunden verwendet wird, um eine Verbindung zu Microsoft-365-Exchange-Diensten herzustellen. Das wirkte sich auf die Kommunikationvon etwa 10 Prozent der Mimecast-Nutzer aus. Obwohl das Unternehmen nicht ex-

Sicherheit 2022: Darauf müssen Unternehmen vorbereitet seinSo wird Ihre Software-Lieferkette gehacktplizit bestätigte, dass es sich um ein SSL-Zertifikat handelte, liegt diese VermutungSecurity-Forschern zufolge nahe.Während ein kompromittiertes SSL-Zertifikat problematisch ist, kann ein gestohlenes Code-Signing-Zertifikat (also ein kompromittierter privater Schlüssel) weitreichendere Folgen für die Softwaresicherheit haben: Angreifer, die diesen Schlüsselin die Hände bekommen, können ihre Malware möglicherweise als legitime Software oder offizielles Update signieren. Aus diesem Grund ist auch das bereits erwähnte Beispiel der Preisgabe des privaten PGP-Schlüssels von HashiCorp im Rahmen des Codecov-Lieferkettenangriffs problematisch. Obwohl es bisher keine Hinweise darauf gibt, dass der kompromittierte Schlüssel von Angreifern zum Signierenvon Malware missbraucht wurde.5. Angriffe auf CI/CD PipelinesSonatype beobachtete kürzlich einen vielschichtigen Angriff auf die Software-Lieferkette, Dieser beinhaltete nicht nur bösartige Pull-Requests im GitHub-Projekt eines Benutzers, sondern missbrauchte auch die CI/CD-Automatisierungsinfrastrukturvon GitHub, GitHub Actions, um Kryptowährung zu schürfen.Die Angreifer klonten legitime GitHub-Repositories, die das GitHub-Action-Skriptim Repository leicht veränderten und reichten einen Pull-Request für den Projektinhaber ein, um diese Änderungen wieder in das ursprüngliche Repository einzubinden. Sollte ein Projektinhaber den geänderten Pull-Request beiläufig genehmigen,ist der Supply-Chain-Angriff gelungen. Ein solcher Angriff stützt sichauf zwei Komponenten: Entwederman bringt einen Entwickler dazu,einen bösartigen Pull-Request zuakzeptieren. Oder die vorhandene,automatisierte CI/CD-Infrastruktur wird für maliziöse Aktivitätenzweckentfremdet.Sicherheitsforscher konnten erfolgreich in Domänen der VereintenNationen (UN) eindringen und aufüber 100.000 UNEP-Mitarbeiterdatensätze zugreifen. Das war möglich, weil sie auf diesen Domänenexponierte Git-Ordner und „git-credentials“-Dateien gefunden hatten.Fallen Git-Anmeldeinformationen› (Foto: RadiasaTutorial Rti – Vecteezy.com)‹ 21

22›Sicherheit 2022: Darauf müssen Unternehmen vorbereitet seinSo wird Ihre Software-Lieferkette gehackteinem Bedrohungsakteur in die Hände, kann dieser nicht nur private Git-Repositories klonen, sondern möglicherweise auch bösartigen Code einschleusen, um eineSupply-Chain-Attacke zu initiieren.Bisher lag der Fokus vor allem darauf, Entwicklern sichere Coding-Praktiken oderDevSecOps-Automatisierungstools zu empfehlen. Ebenso wichtig ist jedoch inzwischen auch die Absicherung von CI/CD-Pipelines, Cloud-nativen Containern undergänzenden Entwickler-Tools und -Infrastrukturen.6. Social EngineeringDie Linux Foundation hat kürzlich Forscher der University of Minnesota „verbannt“,weil diese absichtlich fehlerhafte „Patches“ vorgeschlagen hatten, die Schwachstellen in den Linux-Kernel-Quellcode einführten.Obwohl dieser Fall aufgeflogen ist, zeigt er die Realität: Entwickler sind rar gesätund haben nicht immer die Zeit, jeden einzelnen Code-Commit oder Änderungenzu überprüfen. Dazu kommt, dass Social Engineering auch unverdächtigen Quellenentspringen kann – in diesem Fall von vermeintlich glaubwürdigen Wissenschaftlernmit „.edu“-E-Mail-Adresse.Supply-Chain-Attacken – das Risiko steigtAll diese Beispiele aus der Praxis zeigen verschiedene Schwachstellen, Angriffsvektoren und Techniken, die Bedrohungsakteure bei erfolgreichen Angriffen auf dieLieferkette einsetzen. Da sich diese Angriffe immer weiterentwickeln und Herausforderungen darstellen, sind innovativere Lösungen und Strategien erforderlich, wennes um Software-Sicherheit geht.Ax SharmaAx Sharma ist ein Security- und Technologieexperte und schreibt für die US-Schwesterpublikation CSO Online.

In einem Sicherheitshinweis erklärte Click Studios: „Die Kompromittierung bestand etwa 28 Stunden lang. Wir nehmen an, dass nur Kunden betroffen sind, die In-Pla-ce-Upgrades zwischen den oben genannten Zeitpunkten durchgeführt haben. Ma-nuelle Upgrades von Passwordsta