SolarWinds und Log4j haben die Sicherheit von Softwarelieferketten zu einem Thema von intensivem Interesse und intensiver Prüfung für Unternehmen und Regierungen gleichermaßen gemacht.
SolarWinds war ein erschreckendes Beispiel dafür, was mit der Integrität von Software-Build-Systemen schiefgehen kann: Russische Geheimdienste entführten das Software-Build-System für SolarWinds-Software, fügten heimlich eine Hintertür zu einer Software hinzu und fuhren per Anhalter in die Computernetzwerke von Tausenden von Kunden. Log4J verkörpert das Garbage-in-Garbage-out-Problem von Open-Source-Software: Wenn Sie Code ohne Gewährleistung aus dem Internet holen, wird es Fehler geben, und einige dieser Fehler sind ausnutzbar.
Worüber jedoch weniger gesprochen wird, ist die Tatsache, dass diese Angriffe nur einen Bruchteil der verschiedenen Arten von Kompromittierungen in der Softwarelieferkette darstellen, die möglich sind.
Werfen wir einen Blick auf einige der weniger bekannten, aber nicht weniger schwerwiegenden Arten von Software-Supply-Chain-Angriffen.
Nicht autorisierte Commits
Diese Angriffsklasse beschreibt einen unbefugten Benutzer, der einen Entwickler-Laptop oder ein Quellcode-Verwaltungssystem (z. B. GitHub) kompromittiert und dann Code pusht.
Ein besonders berühmtes Beispiel trat auf, als ein Angreifer den Server kompromittiert, auf dem das PHP gehostet wird Programmiersprache und schob bösartigen Code in die Programmiersprache selbst ein. Obwohl der Code schnell entdeckt wurde, hätte er, wenn er nicht korrigiert worden wäre, einen weit verbreiteten unbefugten Zugriff auf große Teile des Internets ermöglicht.
Die Landschaft der Sicherheitsanbieter verkauft einen Wunschtraum, dass „Scanner“ und „Software-Kompositionsanalyse“-Waren alle kritischen Schwachstellen auf der Ebene von Software-Artefakten erkennen können. Sie tun es nicht.
Glücklicherweise haben kürzlich entwickelte Tools wie Sigstore und gitsign reduzieren die Wahrscheinlichkeit dieser Art von Angriff und den Schaden, falls ein solcher Angriff auftritt.
Kompromittierung des Veröffentlichungsservers
Kürzlich hat ein Angreifer, möglicherweise der chinesische Geheimdienst, hackte die Server, die die chinesische Messaging-App MiMi vertreiben, wodurch die normale Chat-App durch eine bösartige Version ersetzt wird. Die Malware ermöglichte es den Angreifern, die Chat-Software aus der Ferne zu überwachen und zu steuern.
Dieser Angriff ergibt sich aus der Tatsache, dass die Softwareindustrie kritische Punkte in der Softwarelieferkette (wie Publishing-Server oder Build-Systeme) nicht mit der gleichen Sorgfalt behandelt hat wie Produktionsumgebungen und Netzwerkperimeter.
Angriffe auf Open-Source-Paket-Repositorys
Von dem Python-Paketindexdas Python-Pakete beherbergt, an npmhängt die Software der Welt jetzt buchstäblich von riesigen Speichern von Softwarepaketen ab, dem Äquivalent des Apple App Store für Open-Source-Softwareprogrammierer.