خانه » نفوذ حملات زنجیره تامین به پروژه‌های منبع باز

نفوذ حملات زنجیره تامین به پروژه‌های منبع باز

توسط Vulnerbyte
12 بازدید
گروه والنربایت - گروه vulnerbyte - حملات زنجیره تامین - پروژه‌های منبع باز - vulnerbyte Group

پروژه‌های منبع باز به دلیل ماهیت مشارکتی و پذیرش گسترده خود مشهور هستند، اما حملات زنجیره تامین پیچیده بیش از پیش آنها را هدف قرار می‌دهند. محققان Checkmarx اخیراً دریافته‌اند که می‌توان از نقاط ورودی در چندین اکوسیستم برنامه‌نویسی مانند PyPI، npm، Ruby Gems، NuGet، Dart Pub و Rust Crates برای انجام حملات زنجیره تامین نرم ‌افزار سوء استفاده کرد.

هکرها به هنگام اجرای دستورات خاص، می‌توانند از این نقاط ورودی برای اجرای کدهای مخرب سوء استفاده کنند، که خطر گسترده‌ای را در چشم‌انداز پروژه‌های منبع باز ایجاد می‌کند.

نقاط ورودی یکی از ویژگی‌های ضروری سیستم‌های packaging  (بسته بندی) به شمار می‌آیند. آنها توسعه دهندگان را قادر می‌سازند تا عملکردهای خاصی را از طریق دستورات CLI بدون نیاز به دانستن مسیرهای ورودی دقیق پکیج‌ها یا ساختارها، به کاربران نشان دهند. نقاط ورودی معمولاً هنگام نوشتن اسکریپت‌های خط فرمان یا ایجاد سیستم‌های پلاگین استفاده می‌شوند.

نقاط ورودی پس از نصب پکیج، در فایل متادیتا آن ثبت می‌شوند. هکرها می‌توانند هر زمان که دستور یا پلاگین خاصی اجرا می‌شود از این متادیتا برای اجرای کد مخرب سوء استفاده نمایند.

 

روش‌های حمله

هکرها تکنیکهای متعددی را برای نفوذ به اکوسیستم‌های منبع باز و اجرای حملات زنجیره تامین توسعه داده‌اند. یک تکنیک محبوبِ Command-Jacking شامل پکیج‌های مخربی است که به عنوان کپی ابزارهای شخص ثالث استاندارد مانند AWS، Docker، NPM Pip Kubectl و غیره توزیع می‌شوند.

زمانی که توسعه‌دهندگان ناآگاه این پکیج‌ها را نصب و دستورات را اجرا می‌کنند، این نسخه‌های مخرب می‌توانند داده‌های حساس را بربایند و یا یک اقدام غیرمُجاز را (مانند سرقت گواهی اعتبار AWS که می‌تواند کل زیرساخت‌های ابری را به خطر بیندازد) به انجام رسانند.

تاکتیک دیگر شامل جعل هویت ابزارهای محبوب سیستم مانند touch، curl، ls، و mkdir برای منحرف کردن اجرای دستورات به سمت اسکریپت‌های مخرب است. این تاکتیک به ‌ویژه در محیط‌های توسعه که نصب پکیج‌های لوکال ممکن است اولویت داشته باشد مؤثر خواهد بود.

هکرها می‌توانند با قرار دادن این دستورات جعلی جلوتر از همتایان قانونی خود در ترتیب متغیر محیطی PATH، دستورات را مستقیماً بر روی اسکریپت‌های مخرب خود اجرا کنند.

انواع پیچیده‌تر Command-Jacking ممکن است از Command Wrapping استفاده کنند، که در آن یک فرمان معتبر برای انجام عملکرد مورد نظر خود در حین اجرای کدهای مخرب در پس‌زمینه اصلاح می‌شود. این تاکتیک تشخیص فوری را غیرممکن می‌سازد چرا که در آن زمان عملکرد جعلی، قانونی به نظر می‌رسد.

یکی دیگر از روش‌های رایج، نصب پکیج‌های به ظاهر بی‌ضرر با وابستگی‌ها و الزامات (dependencies ) مخرب است که در هنگام نصب (از طریق اسکریپت‌های پیش ‌نصب) و یا هنگام فراخوانی توابع خاص اجرا می‌شوند. چنین وابستگی‌هایی تا زمانی که استفاده مخرب آنها توسط برخی رویدادهای خارجی یا فراخوانی توابع فعال نگردد، شناسایی نخواهند شد و تا زمانی که برای اهداف مخرب مورد نیاز نباشند، بصورت نرمال در برنامه رفتار می‌کنند.

 

چه کسانی در معرض خطر قرار دارند؟

توسعه دهندگان فردی و شرکت‌های بزرگ در برابر حملات زنجیره تامین آسیب پذیر هستند. تیم‌های توسعه کوچکتر و یا توسعه دهندگان مستقل ممکن است فاقد منابع یا تخصص لازم برای بررسی تمامی وابستگی‌ها و منابع آنها باشند و به اهداف اصلی هکرها تبدیل شوند.

در همین حال، شرکت‌ها اغلب به سیستم‌های خودکار در pipeline های CI/CD خود متکی هستند که دستورات مخرب در آن می‌توانند عملیات در سراسر سیستم‌های یکپارچه را مختل سازند و به طور بالقوه حجم زیادی از داده را در معرض دید قرار دهند و یا موجب اختلال در عملیات شوند.

 

پیامدهای حملات زنجیره تامین به پروژه‌های منبع باز

حملات زنجیره تامین در اکوسیستم‌های منبع باز پیامدهای جدی به همراه دارند. یکی از تهدیدات مورد علاقه هکرها استخراج داده‌ و دسترسی غیرمجاز است. هکرها با استفاده از تکنیک‌هایی مانند command-jacking ، می‌توانند به داده‌ها و گواهی‌های اعتبار حساس دسترسی غیرمجاز پیدا کنند. این داده‌ها می‌تواند مورد سوء استفاده قرار گرفته و یا در بازار سیاه فروخته شوند.

نفوذ به محیط‌های توسعه و تولید یک خطر جدی دیگر است. دستورات مخرب ممکن است کد منبع را تغییر دهند، بکدورها را مستقر و فرآیندهای ساخت و استقرار را مختل کنند، یا محیط‌های CI/CD را به خطر بیندازند. این باعث می‌شود که برنامه‌های کاربردی آلوده برای کاربران نهایی مستقر شوند و به طور مستقیم بر آنها تأثیر بگذارند و شهرت سازمان را خدشه‌دار کنند.

سازمان ها باید ریسک‌های فنی و عملیاتی مربوط به حملات زنجیره تامین، ضررهای مالی قابل توجه و عواقب قانونی را در نظر بگیرند.

 

تقویت امنیت پروژه‌های منبع باز

به منظور حفظ سطوح امنیتی بالا در پروژه‌های منبع باز، هوشیاری و مشارکت جامعه باید در فرآیندهای توسعه و توزیع پکیج‌ها حرف اول را بزند. بررسی کد، دستورالعمل‌های مشارکت و ابزارهای اسکن امنیتی خودکار بسیار مهم هستند.

ابزارهای امنیتی که متادیتا و رفتار پکیج را تجزیه و تحلیل می‌کنند برای شناسایی حملات زنجیره تامین ارزشمند می‌باشند که می‌توانند آسیب ‌پذیری‌ها را در زنجیره تامین سازمان نشان دهند.

 

اقدامات دفاعی عملی برای Adminها

adminهای لینوکس و توسعه دهندگان پروژه‌های منبع باز می‌توانند چندین اقدام عملی برای به حداقل رساندن حملات زنجیره تامین به پروژه‌های منبع باز انجام دهند. اینها شامل کنترل‌های دسترسی سختگیرانه‌ای هستند که از اصل حداقل سطح دسترسی (PoLP) پیروی می‌کنند تا اطمینان حاصل شود که فقط کاربران مجاز می‌توانند پیکربندی‌های حیاتی را تغییر دهند و یا وارد سیستم‌های حساس شوند.

حسابرسی و نظارت مستمر نیز نقش اساسی در دفاع در برابر این تهدیدات دارد. adminها با بررسی مکرر پکیج‌های نصب شده یا فراخوانی‌های سیستمی و ردیابی هر گونه رفتار غیرعادی که ممکن است نشان ‌دهنده یک حمله مداوم باشد، می‌توانند هر چیز غیرعادی را که نشان‌ دهنده یک حمله مداوم باشد را شناسایی کنند. استفاده از EDR  ممکن است کارایی آنها را بیشتر افزایش دهد.

یکی دیگر از مراحل ضروری، تأیید یکپارچگی پکیج پیش از نصب است. adminها باید از روش‌های هش (hashing methods) و ابزارهایی مانند GPG (GNU Privacy Guard) را برای تأیید عدم تغییر پکیج‌ها استفاده کنند. علاوه بر این، تیم‌های توسعه می‌بایست در مورد حملات زنجیره تامین آموزش ببینند تا هر گونه فلگ قرمز را شناسایی کنند.

پیاده سازی یک مدل امنیتی می‌تواند وضعیت امنیتی سازمان را به طور قابل توجهی بهبود بخشد. این مدل شامل بررسی مداوم هر کامپوننت در سیستم برای نقض یکپارچگی و امنیت است، بنابراین تأثیر آنها را محدود می‌کند. adminها با انجام چنین اقدامات عملی، می‌توانند بهتر از سیستم خود محافظت کنند و احتمال حملات زنجیره تامین موفق را کاهش دهند.

 

سخن پایانی

حملات زنجیره تامین که نقاط ورود به پایتون، npm و سایر اکوسیستم‌های منبع باز را هدف قرار می‌دهند، روند نگران‌کننده‌ای در امنیت سایبری هستند. چنین حملاتی نشان می‌دهند که چگونه هکرها از روش‌های پیچیده برای نفوذ به سیستم‌ها استفاده می‌کنند. بنابراین تلاش‌های جمعی در جامعه پروژههای منبع باز برای تقویت اقدامات امنیتی و به حداقل رساندن حملات ضروری هستند.

درک نحوه عملکرد این حملات، چه کسانی ممکن است آسیب پذیر باشند و توسعه پروتکل‌های امنیتی برای به حداقل رساندن خطرات و آسیب‌ها، همگی به کاهش تهدیدها و جلوگیری از بروز رخدادهای بیشتر کمک می‌کنند.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید