Bitwarden CLI компрометиран при атака на веригата на доставки

Доверен инструмент се превръща в заплаха

Атака на веригата на доставки, започнала с пробив в охранителната фирма Checkmarx, се разшири по обхват — на 27 април изследователи потвърдиха, че инструментът Command Line Interface (CLI) на Bitwarden също е бил компрометиран. Атаката се приписва на група, наречена TeamPCP, и е изложила на риск от кражба на идентификационни данни и разкриване на чувствителна информация повече от 10 милиона потребители и 50 000 бизнеса.

Това, което прави инцидента особено тревожен, не е само мащабът. Тревожна е и мишената. Bitwarden е широко използван и trusted мениджър на пароли, използван както от потребители, загрижени за поверителността, така и от специалисти по сигурността. CLI версията е особено популярна сред разработчиците, които интегрират управлението на пароли в автоматизирани работни процеси и скриптове. Компрометирането на този инструмент означава, че нападателите може да са имали достъп до идентификационни данни, преминаващи през някои от най-чувствителните части на инфраструктурата на дадена организация.

Съобщава се, че TeamPCP е заплашила да използва откраднатите данни за провеждане на последващи ransomware кампании, което означава, че инцидентът може да е далеч от приключен.

Как работят атаките на веригата на доставки

Атаката на веригата на доставки не е насочена директно срещу вас. Вместо това тя е насочена към софтуера или услугите, на които се доверявате и използвате всеки ден. В случая нападателите първо са пробили Checkmarx — добре позната компания за сигурност на приложения. Оттам са успели да разширят достъпа си до CLI инструментариума на Bitwarden.

Този подход е опустошително ефективен, защото експлоатира доверието. Когато инсталирате инструмент от доставчик, на когото разчитате, вие имплицитно се доверявате на всяка част от собствения му pipeline за разработка и дистрибуция. Ако някоя връзка в тази верига е компрометирана, злонамереният код или достъп може да достигне директно до вас без очевидни предупредителни знаци.

Разработчиците са особено ценна мишена в подобни сценарии. Те обикновено имат повишени системни привилегии, достъп до хранилища на изходен код, идентификационни данни за облачна инфраструктура и API ключове. Компрометирането на инструмент, намиращ се в ежедневния работен процес на разработчика, може да даде на нападателите широк достъп из цялата организация.

Какво означава това за вас

Ако използвате CLI инструмента на Bitwarden, особено в автоматизирани или скриптирани среди, трябва да третирате всички идентификационни данни, преминали през него, като потенциално компрометирани. Това означава смяна на пароли, отмяна на API ключове и одит на регистрационните журнали за необичайна активност.

Но този инцидент носи и по-широк урок за начина, по който повечето хора мислят за своята сигурност. Много потребители и дори бизнеси разчитат на малък брой инструменти, за да осигурят своята поверителност и сигурност: VPN за мрежова поверителност, мениджър на пароли за защита на идентификационните данни и може би двуфакторно удостоверяване за ключови акаунти. Тази атака показва, че дори тези основни инструменти могат да бъдат подкопани.

VPN например защитава мрежовия ви трафик от прихващане. Той не може да ви защити, ако мениджърът на пароли, който използвате за съхранение на VPN идентификационните ви данни, сам по себе си е бил компрометиран. Именно затова специалистите по сигурността говорят за defense-in-depth: наслагване на множество независими контроли, така че провалът на един от тях да не доведе до пълно разкриване.

Някои практически стъпки за укрепване на цялостната ви защитна позиция в светлината на този инцидент:

• Сменете идентификационните данни незабавно, ако сте използвали CLI инструмента на Bitwarden в автоматизирани работни процеси или скриптове
• Активирайте хардуерни ключове за сигурност или базирано на приложение двуфакторно удостоверяване за акаунта си в мениджъра на пароли, а не само SMS-базирани кодове
• Одитирайте кои инструменти в работния ви процес имат привилегирован достъп до идентификационни данни или инфраструктура и преценете дали тези инструменти все още са необходими
• Следете препоръките за сигурност от доставчиците, от чиито инструменти зависите, и третирайте пробивите в охранителни фирми като сигнал за преглед на собствената ви изложеност
• Сегментирайте чувствителните идентификационни данни, така че компрометирането в една област да не предаде на нападателите ключовете към всичко останало

Defense-in-Depth не е опция

Атаката на веригата на доставки срещу Bitwarden CLI е напомняне, че нито един инструмент, колкото и реномиран да е, не може да се третира като безусловна гаранция за сигурност. Checkmarx е охранителна компания. Bitwarden е инструмент за сигурност. И двата бяха част от верига, която нападателите успешно са експлоатирали.

Това не означава, че трябва да изоставите мениджърите на пароли или да спрете да използвате инструменти за сигурност на разработчиците. Означава, че трябва да изградите стратегията си за сигурност с допускането, че всеки отделен компонент може един ден да откаже. Използвайте силни, уникални идентификационни данни за акаунтите. Наслагвайте методите си за удостоверяване. Бъдете информирани, когато доставчици в стека ви съобщават за инциденти.

Целта не е да постигнете перфектна сигурност, което не е възможно. Целта е да сте сигурни, че когато един слой откаже, следващият вече е на място. Прегледайте текущата си конфигурация днес — особено всички автоматизирани работни процеси, които обработват идентификационни данни — и се запитайте до какво би могъл да получи достъп нападателят, ако само един от вашите доверени инструменти бъде обърнат срещу вас.