軟件供應(yīng)鏈威脅和漏洞

什么是供應(yīng)鏈攻擊?

供應(yīng)鏈攻擊是通過第三方供應(yīng)商或供應(yīng)商的集成組件向供應(yīng)鏈系統(tǒng)注入惡意有效載荷來策劃的。由于現(xiàn)代云原生應(yīng)用程序的松散耦合特性，以及公眾對網(wǎng)絡(luò)威脅的認(rèn)識不足，近年來，具有高度影響力的供應(yīng)鏈攻擊有所增加。供應(yīng)鏈攻擊也被稱為價(jià)值鏈或第三方攻擊，針對的是含有已知漏洞的商業(yè)、現(xiàn)成解決方案和開源組件。它的影響范圍從無害的漏洞利用到供應(yīng)鏈的完全破壞。

供應(yīng)鏈攻擊通常分為：

基于硬件：不安全的硬件配置用于托管應(yīng)用程序并將其連接到用戶。其中可能包括預(yù)裝惡意軟件的設(shè)備以及可公開訪問的網(wǎng)絡(luò)設(shè)備等。這些攻擊旨在在部署階段的初始階段感染小工具，并進(jìn)一步利用這些小工具進(jìn)進(jìn)行更深層次的、全網(wǎng)絡(luò)范圍的攻擊。

基于軟件：這些攻擊會在源代碼、操作系統(tǒng)、庫以及應(yīng)用程序中使用的幾乎所有其他軟件中增加缺陷。這些軟件組件內(nèi)部的固有漏洞會被進(jìn)一步濫用，注入惡意軟件和惡意代碼，從而中斷整個(gè)供應(yīng)鏈。

基于固件：這些供應(yīng)鏈攻擊是通過將惡意代碼注入設(shè)備的啟動代碼來發(fā)起的。盡管固件供應(yīng)鏈攻擊執(zhí)行速度快且難以檢測，但基于固件的攻擊是網(wǎng)絡(luò)犯罪分子針對供應(yīng)鏈系統(tǒng)最廣泛濫用的技術(shù)之一。

供應(yīng)鏈攻擊案例

太陽風(fēng)供應(yīng)鏈攻擊

SolarWinds黑客攻擊是針對SolarWindsOrion軟件訪問聯(lián)邦政府機(jī)構(gòu)和私營公司網(wǎng)絡(luò)的全球供應(yīng)鏈攻擊。這次攻擊是通過劫持Orion的應(yīng)用程序編譯過程來策劃的，目的是在有效的，數(shù)字簽名的Orion更新中放置一個(gè)后門。這些格式錯誤的更新作為特洛伊木馬安裝包發(fā)送到客戶端計(jì)算機(jī)幾個(gè)月，但未被檢測到。SolarWinds黑客攻擊被認(rèn)為是最近最具影響力的供應(yīng)鏈攻擊之一，它提高了組織對安全風(fēng)險(xiǎn)的認(rèn)識，并引發(fā)了各個(gè)實(shí)體之間的合作，以應(yīng)對不斷上升的網(wǎng)絡(luò)犯罪。

Kaseya VSA供應(yīng)鏈勒索軟件攻擊

2021年7月，Kaseya發(fā)現(xiàn)其VSA管理的服務(wù)程序受到了活躍的勒索軟件攻擊。VSA是Kaseya的云服務(wù)套件，它可以促進(jìn)更新和安全補(bǔ)丁。此次攻擊是由REvil實(shí)施的該組織利用一個(gè)已知的0 day漏洞進(jìn)入了Kaseya系統(tǒng)，該組織仍在試圖修復(fù)該漏洞。這次攻擊導(dǎo)致60個(gè)直接客戶數(shù)據(jù)泄露，1500家企業(yè)受到影響，黑客要求支付7000萬美元的贖金才能解鎖受影響的設(shè)備。雖然幾家受影響的公司能夠使用備份恢復(fù)他們的系統(tǒng)，但其他公司提出支付個(gè)人贖金，金額在4萬至22萬美元之間。攻擊發(fā)生一周后，Kaseya聲稱已經(jīng)獲得了進(jìn)一步提供給受影響客戶的主解密密鑰。

Target數(shù)據(jù)泄露

2013年7月，Target 遭遇數(shù)據(jù)泄露，攻擊者訪問了近7000萬用戶賬戶和4000萬條支付卡記錄。這次攻擊是通過第三方供應(yīng)商泄露的證書惡意滲透Target 公司的網(wǎng)絡(luò)發(fā)起的。這些憑證進(jìn)一步被用來利用Target基礎(chǔ)設(shè)施中的其他漏洞訪問用戶數(shù)據(jù)庫，并安裝惡意軟件，暴露客戶記錄，包括用戶的姓名、聯(lián)系方式、卡號、驗(yàn)證碼和其他敏感信息。

Target花了大約兩周的時(shí)間來檢測和識別漏洞。這次攻擊對Target百貨公司造成了巨大的經(jīng)濟(jì)影響，這家零售巨頭向受影響的用戶支付了1850萬美元。Target還遭受了收入損失，在襲擊發(fā)生后的幾個(gè)月里銷售額下降了46%。在這次攻擊之后，該公司聲稱提高了反擊網(wǎng)絡(luò)攻擊的能力，并發(fā)行了安全的芯片-pin卡，以降低卡被利用的可能性。

供應(yīng)鏈攻擊用戶泄漏的影響

在現(xiàn)代應(yīng)用程序交付中，軟件組件的可重用性擴(kuò)展了可以在攻擊序列中重復(fù)利用的攻擊面。因?yàn)槔靡粋€(gè)組件的缺陷就打開了濫用整個(gè)供應(yīng)鏈的大門。供應(yīng)鏈攻擊的影響包括:

惡意軟件感染：攻擊者依靠第三方軟件漏洞向應(yīng)用程序開發(fā)管道中注入惡意代碼和程序。攻擊的效果最終取決于惡意軟件的復(fù)雜程度和目標(biāo)系統(tǒng)承載的數(shù)據(jù)。

數(shù)據(jù)泄露和受損：惡意行為者依靠供應(yīng)鏈漏洞將數(shù)據(jù)泄露工具安裝到軟件開發(fā)管道中。通過滲透工具傳遞的任何信息(包括用戶和系統(tǒng)級數(shù)據(jù))都將發(fā)送到攻擊者控制的主機(jī)。

財(cái)務(wù)損失：針對電子商務(wù)系統(tǒng)、支付卡供應(yīng)商和零售店的供應(yīng)鏈攻擊通常會導(dǎo)致身份欺詐造成的直接財(cái)務(wù)損失。由于供應(yīng)鏈攻擊而遭受數(shù)據(jù)泄露的組織也會受到監(jiān)管機(jī)構(gòu)的巨額處罰，并最終導(dǎo)致聲譽(yù)受損。

管理供應(yīng)鏈風(fēng)險(xiǎn)和脆弱性

由于第三方供應(yīng)商系統(tǒng)的供應(yīng)鏈漏洞，它們通常難以控制。根據(jù)易受攻擊的工作負(fù)載類型及其直接集成的組件，減輕基于此類漏洞的攻擊有不同組合的解決方法。

識別供應(yīng)鏈漏洞的方法

盡管不同的情況需要專門的方法來適應(yīng)其部署框架，但這里有兩種常用的方法來識別供應(yīng)鏈漏洞:

持續(xù)漏洞掃描

開發(fā)人員和安全團(tuán)隊(duì)需要協(xié)作實(shí)施自動化、持續(xù)的安全漏洞掃描，如靜態(tài)代碼安全檢測、動態(tài)測試及軟件組件分析等，以檢測整個(gè)供應(yīng)鏈中的潛在缺陷。持續(xù)的掃描過程有助于識別存在漏洞利用風(fēng)險(xiǎn)的組件，包括源代碼、進(jìn)程和服務(wù)。高級供應(yīng)鏈漏洞評估應(yīng)生成部署中使用的所有組件的記錄，包括組件級威脅，以及所有第三方軟件的漏洞評級。

滲透測試

在識別第三方安全風(fēng)險(xiǎn)之后，開發(fā)人員和QA團(tuán)隊(duì)?wèi)?yīng)該測試每個(gè)漏洞，以模擬惡意行為者可能執(zhí)行的最可能的攻擊序列。團(tuán)隊(duì)還應(yīng)為道德黑客和滲透測試建立一個(gè)虛擬數(shù)據(jù)和功能的蜜罐。這些蜜罐可以進(jìn)一步與端點(diǎn)檢測解決方案相結(jié)合，以確保可觀察性和易受攻擊端點(diǎn)的檢測。全面滲透測試有助于模擬攻擊模式，同時(shí)提供關(guān)于惡意行為者如何利用供應(yīng)鏈風(fēng)險(xiǎn)成功利用的有效信息。

來源：

https://crashtest-security.com/supply-chain-attack/