Bitwarden CLI kompromitováno při útoku na dodavatelský řetězec

Důvěryhodný nástroj se stává vektorem hrozby

Útok na dodavatelský řetězec, který začal narušením bezpečnosti v bezpečnostní firmě Checkmarx, se rozrostl do větších rozměrů – výzkumníci 27. dubna potvrdili, že byl kompromitován také nástroj příkazového řádku (CLI) aplikace Bitwarden. Útok je připisován skupině nazvané TeamPCP a ohrozil více než 10 milionů uživatelů a 50 000 firem krádeží přihlašovacích údajů a únikem citlivých dat.

To, co dělá tento incident obzvlášť znepokojivým, není pouze jeho rozsah. Je to samotný cíl útoku. Bitwarden je široce důvěryhodný správce hesel, který používají jak soukromí uživatelé dbající na ochranu soukromí, tak bezpečnostní profesionálové. Verze CLI je zvláště oblíbená mezi vývojáři, kteří integrují správu hesel do automatizovaných pracovních postupů a skriptů. Kompromitování tohoto nástroje znamená, že útočníci mohli mít přístup k přihlašovacím údajům procházejícím některými z nejcitlivějších částí infrastruktury organizace.

Skupina TeamPCP údajně pohrozila, že využije odcizená data ke spuštění následných ransomwarových kampaní, což znamená, že tento incident zdaleka nemusí být u konce.

Jak fungují útoky na dodavatelský řetězec

Útok na dodavatelský řetězec necílí přímo na vás. Místo toho cílí na software nebo služby, kterým důvěřujete a které každodenně používáte. V tomto případě útočníci nejprve pronikli do společnosti Checkmarx, dobře známé firmy zabývající se bezpečností aplikací. Odtud dokázali rozšířit svůj dosah do nástrojů Bitwarden CLI.

Tento přístup je ničivě účinný, protože zneužívá důvěru. Když instalujete nástroj od dodavatele, na kterého spoléháte, implicitně důvěřujete každé části jeho vlastního vývojového a distribučního řetězce. Pokud je jakýkoli článek tohoto řetězce kompromitován, škodlivý kód nebo přístup k vám může proudit přímo, bez jakýchkoli zjevných varovných signálů.

Vývojáři jsou v těchto scénářích obzvláště hodnotným cílem. Obvykle mají zvýšená systémová oprávnění, přístup k repozitářům zdrojového kódu, přihlašovací údaje ke cloudové infrastruktuře a API klíče. Kompromitování nástroje, který je součástí každodenního pracovního postupu vývojáře, může útočníkům poskytnout široký přístup napříč celou organizací.

Co to znamená pro vás

Pokud používáte nástroj Bitwarden CLI, zejména v automatizovaných nebo skriptovaných prostředích, měli byste považovat veškeré přihlašovací údaje, které jím prošly, za potenciálně kompromitované. To znamená rotaci hesel, odvolání API klíčů a audit přístupových protokolů kvůli neobvyklé aktivitě.

Tento incident však nese i širší poučení o tom, jak většina lidí přemýšlí o svém bezpečnostním postoji. Mnoho uživatelů, a dokonce i firem, se spoléhá na malý počet nástrojů, které tvoří základ jejich soukromí a bezpečnosti: VPN pro ochranu síťového provozu, správce hesel pro bezpečnost přihlašovacích údajů a možná dvoufaktorové ověřování na klíčových účtech. Tento útok ukazuje, že i tyto základní nástroje mohou být podkopány.

VPN například chrání váš síťový provoz před odposlechem. Nemůže vás však ochránit, pokud byl kompromitován správce hesel, který používáte k uložení přihlašovacích údajů k VPN. Právě proto bezpečnostní profesionálové hovoří o obraně do hloubky: vrstvení více nezávislých kontrol tak, aby selhání jediné z nich nevedlo k úplnému odhalení.

Několik praktických kroků k posílení celkového bezpečnostního postoje v návaznosti na tento incident:

• Okamžitě rotujte přihlašovací údaje, pokud jste používali Bitwarden CLI v automatizovaných pracovních postupech nebo skriptech
• Povolte hardwarové bezpečnostní klíče nebo dvoufaktorové ověřování prostřednictvím aplikace pro váš účet správce hesel, nejen SMS kódy
• Zkontrolujte, které nástroje ve vašem pracovním postupu mají privilegovaný přístup k přihlašovacím údajům nebo infrastruktuře, a zvažte, zda jsou tyto nástroje stále nezbytné
• Sledujte bezpečnostní upozornění dodavatelů nástrojů, na kterých závisíte, a narušení bezpečnosti u bezpečnostních firem berte jako signál k přehodnocení vlastní expozice
• Segmentujte citlivé přihlašovací údaje tak, aby kompromitování v jedné oblasti nepředalo útočníkům klíče ke všemu ostatnímu

Obrana do hloubky není volitelná

Útok na dodavatelský řetězec Bitwarden CLI připomíná, že žádný jednotlivý nástroj, jakkoli renomovaný, nelze považovat za bezpodmínečnou záruku bezpečnosti. Checkmarx je bezpečnostní společnost. Bitwarden je bezpečnostní nástroj. Oba byly součástí řetězce, který útočníci úspěšně využili.

To neznamená, že byste měli opustit správce hesel nebo přestat používat vývojářské bezpečnostní nástroje. Znamená to, že byste měli budovat svou bezpečnostní strategii s předpokladem, že jakákoli jednotlivá komponenta by jednoho dne mohla selhat. Používejte silné, jedinečné přihlašovací údaje napříč účty. Vrstvěte metody ověřování. Zůstaňte informováni, když dodavatelé ve vašem prostředí hlásí incidenty.

Cílem není dosáhnout dokonalé bezpečnosti, což není možné. Cílem je zajistit, aby když jedna vrstva selže, ta další již byla připravena. Přezkoumejte své aktuální nastavení ještě dnes, zejména veškeré automatizované pracovní postupy nakládající s přihlašovacími údaji, a položte si otázku, k čemu by útočník měl přístup, kdyby byl jediný z vašich důvěryhodných nástrojů obrácen proti vám.