.png)
Codecovのポイント—これまでにわかっていること
誰もがすぐに気付かせる必要があったわけではありませんが、最近発表された多くの組織の継続的インテグレーション(CI)プロセスをサポートするCodecovのツールセットの侵害は、今日存在する相互依存の密度が非常に高く、その結果としてサプライチェーン攻撃にさらされていることを改めて浮き彫りにしました。
さらに、信頼できるサプライヤーが提供するソフトウェアを暗黙のうちに信頼しているということは、ホスト上でローカルに実行されていることだけでなく、ネットワーク接続やデータ転送の観点でも、更新が何をしているのかを顧客が十分にテストしていないことを意味します。つまり、多くの場合、組織で稼働しているソフトウェアが完全には理解されていないということです。
これはCodecovで起こったこととどのように関連していますか?
Codecovは、お客様のCIパイプラインに統合できるレポート機能を提供しています。具体的には、ツールはテストの一環として実行されたコードの量をレポートし、検証プロセスのギャップを特定するのに役立ちます。その後、これらのメトリクスは SaaS プラットフォームにアップロードされ、レポートと分析に使用されます。
データのアップロードは、CIプロセスの一部として実行される、総称して「Bash Uploaders」と呼ばれるスクリプトによって容易になります。これらのアップローダースクリプトが改ざんされた場合、攻撃者はアップロードを任意のサーバーにリダイレクトするだけでなく、どのデータを含めたいかを指定して、CI プロセスで利用できるあらゆるものにアクセスできるようにする可能性があります。
Codecovの場合、最初の侵害は、CodecovのDockerイメージ作成プロセスのエラーによって利用可能になったGoogle Cloud Storageの認証情報の漏洩によるものでした。これらの認証情報により、攻撃者は Bash Uploader スクリプトの修正版を投稿し、そのスクリプトを実行した CI プロセスで利用できるすべての環境変数の内容を取得して、独自のサーバーにアップロードできるように改変しました。
この修正されたスクリプトはCodecovのサイトから直接入手できたため、おそらく顧客から信頼され、ほとんど検証されずにダウンロードおよび統合されていたと思われます。CI プロセスの環境変数は通常、関連するシークレットをコードに挿入し、実行時に必要なリソースにアクセスするために使用されます。これにより、悪意のあるアップローダースクリプトがこれらにアクセスして攻撃者に転送できるようになり、認証情報やその他の機密情報を適切に収集できるようになります。
これ以上ネットワークに常時アクセスできなくても (そして、その侵害がそれを立証するかどうかはまだ明らかになっていませんが)、これらの秘密は、ストレージバケット、データベースなど、インターネットでアクセス可能な多数のリソースへのアクセスを提供することを考えると、宝箱です。 クラウドサービス 関連するアプリケーションが使用したもの。これらも今や侵害されている可能性があります。
少なくとも、侵害されたBash UploaderスクリプトをCIパイプラインに組み込んだ可能性があると考えている組織は、緊急の問題として、これがアクセスできるすべてのシークレットをリセットする必要があります。そのためには、影響を受けるアプリケーションを最新のシークレットを受け取るように再デプロイする必要がほぼ確実ですが、盗まれた認証情報の漏洩を長引かせるよりも、この方法のオーバーヘッドの方が好ましいです。
CI パイプラインに与えられる永続的な特権アクセスは、秘密の漏洩以外にも悪用されがちです。当然のことながら、パイプラインの責任は新しいソフトウェアビルドを生成し、それをリポジトリに公開することです。パイプラインのインフラストラクチャー自体が侵害されると、攻撃者はコンテンツを変更できるようになり、バックドアを挿入して後からダウンストリームのシステムや生成されたアーティファクトの中で使用できるようになる可能性があります。では、攻撃者とその触手の痕跡をすべて確実に削除するには、どの程度の再構築が必要なのでしょうか。
次に、CI インフラストラクチャで利用できるネットワークアクセスを確認する価値があります。通常、これらはバージョン管理システム、監視インフラストラクチャ、自動テスト、ビルドプロセス、構成管理、継続的デプロイなどを含むがこれらに限定されない他の主要コンポーネントに直接アクセスできます。また、FOSS コンポーネントの使用量が多いため、CI パイプラインが関連する依存関係を取得するために、パブリックリポジトリへのインターネットアクセスが必要になることがよくあります。
CIパイプラインが要求する高密度の接続要件にもかかわらず、セグメンテーションは依然として貴重なセキュリティ制御として役立ちますか?
の価値を考えるとき マイクロセグメンテーション、次の 2 つの方法で表示できます。
- マイクロセグメンテーションにより、価値の高い資産を囲い込むことができるため、ネットワークの他の部分に出入りするリスクが制限され、攻撃者がそれらにアクセスして悪用することがより困難になります。
- マイクロセグメンテーションにより、すべてのワークロードを独自の最小権限アクセスルールベースのマイクロペリメーターで囲むことができます。これにより、万が一セキュリティが侵害された場合でも、 アタックサーフェス これにさらされるのは、接続が許可されているものに限定され、最終的には攻撃者が次に実行できる操作が制限されます。
これを CI パイプラインに関連させる方法の 1 つは、次のようになります。
- CIパイプラインは間違いなく価値の高い資産であり、制限すべきものです。
- 接続の観点から見ると、内部と外部の依存関係が多数あるかもしれませんが、これらは十分に理解され、明確に定義されている必要があります。
- この情報を使用して、 許可リストCIパイプラインがこれらのよく理解されている依存関係にのみアクセスできるようにするには、ベースのマイクロセグメンテーションポリシーを構築できます。
- インターネットアクセスが必要な場合は、承認されたリポジトリのリストにのみ許可し、自由なインターネットアクセスは許可しないでください。これにより、アクセスを明示的に定義した宛先サイトのみに制限でき、C&C やデータ漏洩の試みを軽減するための効果的で多くの場合簡単な制御になります。
これにより、CIパイプラインが不正なデバイスから、または許可されていないポートやプロトコルを介してアクセスされるのを防ぎます。また、CI パイプラインが侵害された場合でも、ネットワークの他の部分への露出が制限されます。さらに、改善されました セグメンテーション 多くの場合、統制はシステムの相互作用の可視性が大幅に向上することと密接に関連しており、潜在的な侵害を調査する際にインシデント検出および対応チームが連携できる豊富なデータが提供されます。
イルミオでは、お客様の活用を支援しています マイクロセグメンテーション この封じ込めと監視を確立するためですアカウントチームに連絡して、私たちがどのようにサポートできるかを調べてください。
