Bitwarden CLI kompromitteret i forsyningskædeangreb

Et betroet værktøj bliver en angrebsvektor

Et forsyningskædeangreb, der begyndte med et brud hos sikkerhedsfirmaet Checkmarx, har udvidet sit omfang, og forskere bekræftede den 27. april, at Bitwardens Command Line Interface (CLI)-værktøj også var kompromitteret. Angrebet tilskrives en gruppe kaldet TeamPCP, og det har sat mere end 10 millioner brugere og 50.000 virksomheder i fare for tyveri af loginoplysninger og eksponering af følsomme data.

Det, der gør denne hændelse særligt alarmerende, er ikke kun omfanget. Det er målet. Bitwarden er en bredt betroet adgangskodeadministrator, der bruges af både privatpersoner med fokus på privatliv og sikkerhedsprofessionelle. CLI-versionen er især populær blandt udviklere, der integrerer adgangskodeadministration i automatiserede arbejdsgange og scripts. At kompromittere dette værktøj betyder, at angriberne muligvis har haft adgang til loginoplysninger, der strømmede gennem nogle af de mest følsomme dele af en organisations infrastruktur.

TeamPCP har angiveligt truet med at bruge de stjålne data til at iværksætte efterfølgende ransomware-kampagner, hvilket betyder, at denne hændelse muligvis er langt fra overstået.

Sådan fungerer forsyningskædeangreb

Et forsyningskædeangreb retter sig ikke direkte mod dig. I stedet retter det sig mod den software eller de tjenester, du stoler på og bruger hver dag. I dette tilfælde brød angriberne først ind hos Checkmarx, et velkendt applikationssikkerhedsfirma. Derfra var de i stand til at udvide deres rækkevidde til Bitwardens CLI-værktøj.

Denne tilgang er ødelæggende effektiv, fordi den udnytter tillid. Når du installerer et værktøj fra en leverandør, du er afhængig af, stoler du implicit på enhver del af den pågældende leverandørs egen udviklings- og distributionspipeline. Hvis et led i den kæde er kompromitteret, kan den ondsindede kode eller adgang flyde direkte til dig uden nogen åbenlyse advarselstegn.

Udviklere er et særligt værdifuldt mål i disse scenarier. De har typisk forhøjede systemprivilegier, adgang til kildekodelagre, legitimationsoplysninger til cloud-infrastruktur og API-nøgler. At kompromittere et værktøj, der indgår i en udviklers daglige arbejdsgang, kan give angribere bred adgang på tværs af en hel organisation.

Hvad dette betyder for dig

Hvis du bruger Bitwardens CLI-værktøj, især i automatiserede miljøer eller scripts, bør du behandle alle loginoplysninger, der er gået igennem det, som potentielt kompromitterede. Det betyder, at du skal rotere adgangskoder, tilbagekalde API-nøgler og gennemgå adgangslogfiler for usædvanlig aktivitet.

Men denne hændelse bærer også en bredere lære om, hvordan de fleste mennesker tænker på deres sikkerhedssituation. Mange brugere og endda virksomheder er afhængige af et lille antal værktøjer til at forankre deres privatliv og sikkerhed: en VPN til netværksprivatliv, en adgangskodeadministrator til sikkerhed af loginoplysninger og måske to-faktor-godkendelse på vigtige konti. Dette angreb viser, at selv disse ankerværktøjer kan undermineres.

En VPN beskytter for eksempel din netværkstrafik mod aflytning. Den kan ikke beskytte dig, hvis den adgangskodeadministrator, du bruger til at gemme dine VPN-loginoplysninger, selv er blevet kompromitteret. Det er præcis derfor, sikkerhedsprofessionelle taler om dybdeforsvar: at lagdele flere, uafhængige kontroller, så svigten af én enkelt ikke resulterer i total eksponering.

Nogle praktiske skridt til at styrke din overordnede sikkerhedssituation i lyset af denne hændelse:

• Roter loginoplysninger øjeblikkeligt, hvis du brugte Bitwardens CLI i automatiserede arbejdsgange eller scripts
• Aktivér hardware-sikkerhedsnøgler eller app-baseret to-faktor-godkendelse på din adgangskodeadministratorkonto, ikke kun SMS-baserede koder
• Gennemgå hvilke værktøjer i din arbejdsgang der har privilegeret adgang til loginoplysninger eller infrastruktur, og vurder om disse værktøjer stadig er nødvendige
• Overvåg leverandørers sikkerhedsmeddelelser fra de værktøjer, du er afhængig af, og behandl brud hos sikkerhedsfirmaer som et signal til at gennemgå din egen eksponering
• Segmentér følsomme loginoplysninger, så et kompromis i ét område ikke giver angribere nøglerne til alt andet

Dybdeforsvar er ikke valgfrit

Bitwardens CLI-forsyningskædeangreb er en påmindelse om, at intet enkelt værktøj, uanset hvor velrenommeret det er, kan behandles som en ubetinget garanti for sikkerhed. Checkmarx er et sikkerhedsfirma. Bitwarden er et sikkerhedsværktøj. Begge var del af en kæde, som angriberne med succes udnyttede.

Det betyder ikke, at du bør opgive adgangskodeadministratorer eller holde op med at bruge sikkerhedsværktøjer til udviklere. Det betyder, at du bør opbygge din sikkerhedsstrategi med den antagelse, at enhver enkelt komponent en dag kan svigte. Brug stærke, unikke loginoplysninger på tværs af konti. Lagdel dine godkendelsesmetoder. Hold dig informeret, når leverandører i din teknologistak rapporterer hændelser.

Målet er ikke at opnå perfekt sikkerhed, hvilket ikke er muligt. Målet er at sikre, at når ét lag svigter, er det næste allerede på plads. Gennemgå din nuværende opsætning i dag, især eventuelle automatiserede arbejdsgange, der håndterer loginoplysninger, og spørg dig selv, hvad en angriber kunne få adgang til, hvis blot ét af dine betroede værktøjer blev vendt imod dig.