Administratorii de sisteme au un sfârșit de săptămână dificil în față, deoarece trebuie să gestioneze consecințele unui atac cibernetic de amploare. Scannerul de vulnerabilități Trivy, dezvoltat de Aqua Security și folosit pe larg în industrie, a fost compromis în cadrul unui atac continuu asupra lanțului de aprovizionare, punând în pericol dezvoltatorii și organizațiile pentru care aceștia lucrează.
Itay Shakury, responsabilul pentru întreținerea Trivy, a confirmat vineri compromiterea software-ului, după ce zvonurile și o discuție online – între timp ștearsă de atacatori – au circulat pe internet. Atacul a început în primele ore ale zilei de joi. Utilizând acreditări furate, actorii rău intenționați au reușit să modifice majoritatea versiunilor „trivy-action” și șapte tag-uri „setup-trivy” pentru a include dependențe malițioase.
Un „push forțat” este o comandă în git care anulează mecanismele de siguranță prestabilite ce previn suprascrierea commit-urilor existente. Trivy este un scanner de vulnerabilități utilizat de dezvoltatori pentru a detecta vulnerabilități și secrete de autentificare codificate în mod inadvertent în pipeline-urile de dezvoltare și implementare a actualizărilor software. Cu 33,200 de „stele” pe GitHub, acesta este un instrument extrem de popular.
„Dacă bănuiți că ați utilizat o versiune compromisă, tratați toate secretele pipeline-ului ca fiind compromise și schimbați-le imediat,” a scris Shakury.
Companiile de securitate Socket și Wiz au indicat că malware-ul, activat în 75 de tag-uri „trivy-action” compromise, scanează în detaliu pipeline-urile de dezvoltare, inclusiv calculatoarele dezvoltatorilor, în căutare de token-uri GitHub, credențiale cloud, chei SSH, token-uri Kubernetes și alte secrete. Odată găsite, malware-ul criptează datele și le trimite către un server controlat de atacatori.
Conform Socket, rezultatul final este că orice pipeline CI/CD care folosește software cu versiuni de tag-uri compromise execută codul imediat ce scanarea Trivy este inițiată. Printre tag-urile de versiune falsificate se numără cele larg utilizate @0.34.2, @0.33 și @0.18.0. Versiunea @0.35.0 pare să fie singura neafectată.
„Când binarul malițios este executat, acesta inițiază atât serviciul legitim Trivy cât și codul malițios în paralel,” au scris cercetătorii de la Wiz. „În analiza noastră inițială, codul malițios exfiltrează secrete folosind un mecanism primar și unul de rezervă. Dacă detectează că se află pe un calculator de dezvoltator, adaugă și un ‘dropper’ Python codat în base64 pentru persistență.”
Procesul malițios colectează variabilele de mediu, scanează sistemul pentru credențiale stocate în sistemul de fișiere și enumeră interfața rețelei. Apoi comprimă și criptează datele și încearcă să le exfiltreze printr-o cerere post către https://scan.aquasecurtiy[.]org. Dacă aceasta eșuează (returnând un cod de stare non-2xx), malware-ul încearcă să folosească un GITHUB_TOKEN furat pentru a crea un repo tpcp-docs și a posta datele acolo.
Deși compromiterea în masă a început joi, aceasta are rădăcini într-o compromitere separată de luna trecută a extensiei VS Code Aqua Trivy pentru scannerul Trivy, a spus Shakury. În acel incident, atacatorii au compromis o credențială cu acces de scriere la contul GitHub Trivy.
atac cibernetic, Trivy, Aqua Security, lanț de aprovizionare, scanner de vulnerabilități, GitHub, malware, securitate cibernetică, dezvoltatori, SSH, Kubernetes, token-uri GitHub, CI/CD, compromiterea datelor, criptare, exfiltrare, token-uri, secrete de dezvoltare, Itay Shakury, extensie VS Code
Sursa: Ars Tehnica Technology
Poll: Care dintre următoarele măsuri de securitate considerați cea mai eficientă pentru protejarea împotriva unor atacuri cibernetice precum compromiterea Trivy:
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply