Es wurde festgestellt, dass das beliebte Python-Paket-Repository PyPI AWS-Schlüssel und Malware hostet (öffnet in neuem Tab)wodurch unzählige Python-Entwickler ernsthaften Angriffen auf die Lieferkette ausgesetzt werden.
Die Ergebnisse Mit freundlicher Genehmigung des Softwareentwicklers Tom Forbes, der mit Rust ein Tool erstellt hat, das alle neuen Pakete auf PyPI nach AWS-API-Schlüsseln durchsuchte.
Das Tool kam mit 57 positiven Ergebnissen zurück, darunter einige von Amazon, Intel, Stanford, Portland und der Louisiana University, der australischen Regierung, der Fusionsabteilung von General Atomics, Terradata, Delta Lake und Top Glove.
Minimierung des Schadens
„Dieser Bericht enthält die gefundenen Schlüssel sowie einen öffentlichen Link zu den Schlüsseln und andere Metadaten über die Veröffentlichung“, sagte Forbes. „Da diese Schlüssel an ein öffentliches GitHub-Repository übergeben werden, springt Githubs Secret Scanning Service ein und benachrichtigt AWS, dass die Schlüssel geleakt sind.“
Folglich benachrichtigt AWS den Entwickler über das Leck und stellt es unter Quarantäne, um den Schaden zu minimieren. Das Problem ist, dass ein Tool wie dieses relativ einfach zu bauen war, und während Forbes in seinen Absichten wohlwollend sein mag, sind andere dies möglicherweise nicht. Sprechen mit Das Registersagte er, dass verschiedene Tasten unterschiedliche Schmerzgrade verursachen können:
„Es hängt von den genauen Berechtigungen ab, die dem Schlüssel selbst erteilt wurden“, erklärte Forbes. “Der Schlüssel, den ich gefunden habe, ist von InfoSys durchgesickert [in November] hatte “vollständigen Administratorzugriff”, was bedeutet, dass es alles tun kann, und andere Schlüssel, die ich in PyPI gefunden habe, waren “Root-Schlüssel”, die ebenfalls alles tun dürfen. Ein Angreifer, der diese Schlüssel besitzt, hätte vollen Zugriff auf das AWS-Konto, mit dem er verknüpft ist.”
Er fügte hinzu, dass das automatisierte Key-Scanning von GitHub ein positiver Schritt nach vorne sei, aber nicht ausreiche, um das Problem vollständig anzugehen:
„GitHub kümmert sich auch sehr um die Sicherheit der Lieferkette, aber sie haben sich selbst ein Loch gegraben: Die Art und Weise, wie sie nach Geheimnissen suchen, erfordert viel Zusammenarbeit mit Anbietern, die möglicherweise interne Informationen darüber offenlegen, wie Schlüssel an GitHub erstellt werden“, sagte er. „Dies bedeutet, dass die regulären Ausdrücke, die GitHub zum Scannen nach Geheimnissen verwendet, nicht öffentlich gemacht werden können und sensibel sind, was auch bedeutet, dass Dritte wie PyPI diese großartige Infrastruktur praktisch nicht nutzen können, ohne jedes auf PyPI veröffentlichte Codebit an GitHub zu senden. “
Während er PyPI die Schuld gab und sagte, die Plattform könne mehr tun, um ihre Benutzer zu schützen, sagte er auch, dass Entwickler eine gewisse Verantwortung für die Sicherheit ihrer Lösungen übernehmen sollten. Darüber hinaus sollte AWS auch ein Teil der Lösung sein, fügte er hinzu: „Auch AWS trägt hier einige Schuld: IAM ist notorisch schwer zu debuggen und richtig zu machen, was dazu führt, dass übermäßig weitreichende Berechtigungen für Schlüssel gewährt werden.“
Zum Schutz vor Lieferkettenangriffen über PyPI sollten Unternehmen laut Forbes ihre Sicherheitsrichtlinien überdenken.
Über: Das Register (öffnet in neuem Tab)