Aktueller Stand der Angriffe auf die Software-Lieferkette

In den letzten zwei Jahren haben Sie wahrscheinlich mehr über Angriffe auf die Lieferkette gehört, als Sie je wollten oder erwartet hätten. Laut einer Studie haben diese Angriffe im Vergleich zum Vorjahr um ca. 650 % zugenommen. Die Umfrage ergab, dass Software-Entwicklung Die Sicherheitsumgebungen weisen nach wie vor ein niedriges Sicherheitsniveau auf. Darüber hinaus wies jedes analysierte Unternehmen Schwachstellen und Konfigurationsfehler auf, die es anfällig für Angriffe auf die Lieferkette machten.

Was sind Software-Supply-Chain-Angriffe?

Wenn böswillige Hacker in Softwareabhängigkeiten von Drittanbietern eindringen, die in zahlreichen nachgelagerten Anwendungen genutzt werden, führt dies zu einem Angriff auf die Software-Lieferkette. Das gemeinsame Element ist Open-Source-Software, häufig eine automatisch vertrauenswürdige Codequelle, die von internen Systementwicklern genutzt wird. Angreifer können potenziell vertrauliche Informationen stehlen, Dienste stören oder Netzwerke von Hunderten oder sogar Tausenden von Unternehmen durchbrechen, indem sie ein einziges Open-Source-Programm oder eine einzige Open-Source-Bibliothek infiltrieren.

Schaden ausgeteilt

Neuere Untersuchungen belegen, dass drei von fünf Unternehmen Opfer von Angriffen auf die Software-Lieferkette wurden. Im Jahr 2021 gaben nur 38 % der Unternehmen an, von diesem Angriff verschont geblieben zu sein. Nicht jeder Angriff ist gleich; manche sind groß, während andere schnell wieder verschwinden. Einige der spektakulärsten Softwareangriffe, die das Internet vor den Stürmen bewahrten, waren:

• Solarwinds (Dezember 2020)

  Angreifer nutzten die Orion-Software als Waffe, um sich Zugriff auf mehrere Regierungsnetzwerke und Tausende private Systeme weltweit zu verschaffen. Der Angriff auf die Lieferkette von SolarWinds wurde dadurch zu einem weltweiten Hack. Besonders betroffen waren das US-Gesundheitsministerium, das Finanzministerium und das Außenministerium.

• Codecov (April 2021)

  Angreifern gelang es, eine Hintertür in Codecov einzuschleusen, um Zugriff auf sensible Kundendaten zu erhalten. Dies führte kürzlich zu einem großen Datenleck. Erfahrene Angreifer nutzten einen Fehler in der Erstellung von Docker-Images durch Codecov aus, um diesen Angriff durchzuführen. Sie veränderten dies, um ein Skript zu ändern, das es ihnen ermöglichte, mehrere Angriffe von einem Remote-Server aus zu starten, indem sie die Umgebungsvariablen der CI von Codecov-Benutzern nutzten.

• Microsofts Winget (Mai 2021)

  Die Software-Registrierung von WinGet wurde am Wochenende nach dem Start mit Pull Requests für Anwendungen überschwemmt, die entweder Duplikate waren oder sich schlecht verhielten. Sie wurde mit fehlerhaften oder doppelten Paketen überschwemmt, die die bereits vorhandenen überschrieben.

• Kaseya (Juli 2021)

  Die Remote-Monitoring- und Management-Softwareplattformen zahlreicher Managed Security-Anbieter enthielten eine Zero-Day-Sicherheitslücke, die eine Ransomware-Organisation entdeckte und ausnutzte. Durch diesen Vorfall wurden die Dateien von über 1,500 Unternehmen verschlüsselt.

• Log4j-Sicherheitslücke (Dezember 2021)

  Der Fehler ermöglicht Angreifern den Fernzugriff auf Log4j-Verwendung Apps. Die Schwachstelle liegt im Kommunikationsmechanismus, wodurch ein Angreifer schädlichen Code in die Protokolle einfügen und auf dem System ausführen kann.

Und viele mehr auf der Liste.

Top-Angriffsvektoren

Um einen Softwareanbieter zu kompromittieren und erfolgreich über die Entwicklungspipeline anzugreifen, werden viele verschiedene Angriffsvektoren genutzt. Angreifer konzentrieren ihre Angriffe hauptsächlich auf diese Punkte:

• Ausnutzen von Fehlern in Open-Source-Anwendungen

  Die meisten kommerziellen Softwareprogramme sind Open-Source-Programme. Angriffe auf die Lieferkette anfälliger Anwendungen konzentrieren sich auf zwei Bereiche:

  • Eine davon besteht darin, Schwachstellen in zuvor weit verbreiteten und installierten Programmen auszunutzen, z. B. die Log4j-Sicherheitslücke.
  • Einfügen von Schadcode in bekannte private und Open-Source-Pakete, um automatisierte Pipeline-Tools zu erhalten, die diesen in den Anwendungserstellungsprozess einbinden. Beispiel: us-parser-js-Paketvergiftung.

• Kompromittierte Pipeline-Tools und veränderter Build-Prozess

  Die zweite Angriffsmethode ist die Kompromittierung von Pipeline-Tools. Dadurch können Angreifer Schadcode verändern oder einschleusen. Der Quellcode einer Anwendung, der als Blaupause dient, sowie die Entwicklungsinfrastruktur und -verfahren können durch eine kompromittierte CI/CD-Pipeline öffentlich gemacht werden.

  Gleichzeitig wird das Programm erstellt (wie im Fall von SolarWinds). Darüber hinaus ist die Pipeline mit Dutzenden externer Abhängigkeiten gekoppelt, die für den Zugriff und die Ausführung von Angriffen wie dem Codecov-Angriff genutzt werden können.

• Manipulation des Integritätskodex

  In den Umgebungen vieler Kunden wurden häufig sensible Daten im Code, schlechte Codequalität und Sicherheitslücken beobachtet. Als dritter Risikofaktor wurde die Übermittlung fehlerhaften Codes an Quellcode-Repositories erkannt. Dies beeinflusst die Sicherheitslage und die Artefaktqualität.

Wie kann Codesigning helfen?

Codesignatur ist ein Verfahren zur Bestätigung der Authentizität und Originalität digitaler Informationen, beispielsweise eines Softwarecodes. Es gibt den Benutzern die Sicherheit, dass diese digitalen Informationen gültig sind und stellt die Legitimität des Autors sicher.

Durch die Code-Signierung wird außerdem sichergestellt, dass diese digitalen Informationen nach der gültigen Signierung nicht geändert oder widerrufen wurden. Durch die Code-Signierung können Sie eine doppelte Authentifizierung gewährleisten, Angriffe verhindern und sogar Namespace-Konflikte vermeiden, wenn Sie Quellcode im gesamten SDLC gemeinsam nutzen.

Praxisbeispiele

Hier sind einige bewährte Methoden zur Code-Signierung, um die Sicherheit Ihres Anwendungscodes zu gewährleisten.

• Sichern aller privaten Schlüssel

  Der Verlust, Diebstahl oder die Kompromittierung eines privaten Code-Signaturschlüssels stellt ein ernstes Sicherheitsrisiko dar. Um dieses Risiko zu vermeiden, gibt es einige einfache Regeln:

  • Beschränken Sie den unbefugten Zugriff auf die Schlüssel.
  • Implementieren Sie eine physische Sicherheitskontrolle über die Schlüssel, um den Prozess einzuschränken.
  • Sichern von Schlüsseln mit kryptografischen Hardwareelementen.

• Automatisierung des Signaturprozesses durch Pipelines

  Ein zentralisierter End-to-End-Ansatz für Code-Signatur-Verfahren bei gleichzeitiger Durchsetzung von Sicherheitsvorschriften ist Teil der automatisierten Code-SignierungsprozessOhne den SDLC zu verlangsamen, verbindet sich dieser Automatisierungsansatz mit CI/CD-Pipelines und verwendet eine granulare Zugriffskontrolle.

• Beschreiben Sie die Rollen, Verantwortlichkeiten und Verfahren zur Genehmigung.
• Durch die Integration in vorhandene Umgebungen und Tools kann die Code-Signierung für die internen Teams schnell und einfach erfolgen.
• Verwenden Sie Zeitstempel, um alle Codesigning-Aktivitäten aufzuzeichnen.

Fazit

Ihre Software-Lieferkette ist komplex, umfangreich und vernetzt und daher anfällig für Angriffe. In der Vergangenheit gab es einige verheerende und kleinere Angriffe, und die Zukunft könnte deutlich besser aussehen. Angreifer nutzen unterschiedliche Angriffsvektoren, um gezielt eine Seite anzugreifen. Die Anwendung von Code Signing ist eine wichtige Sicherheitstechnik.

Durch die Code-Signierung wird sichergestellt, dass keine Manipulationen durch Unbefugte erfolgen und die endgültig veröffentlichte Software vom ursprünglichen Herausgeber stammt. Durch die Einhaltung bestimmter Best Practices für die Code-Signierung können wir sicherstellen, dass uns Angriffe auf die Lieferkette nicht mehr bedrohen.

Für weitere Informationen können Sie uns kontaktieren [E-Mail geschützt]