Luotetusta työkalusta uhkavektori

Toimitusketjuhyökkäys, joka sai alkunsa tietoturvayritys Checkmarxin tietomurrosta, on laajentunut merkittävästi. Tutkijat vahvistivat 27. huhtikuuta, että myös Bitwardenin komentorivityökalu (CLI) oli vaarantunut. Hyökkäyksen taustalla on TeamPCP-niminen ryhmä, ja se on asettanut yli 10 miljoonaa käyttäjää ja 50 000 yritystä tunnistetietojen varkauden ja arkaluonteisten tietojen paljastumisen vaaraan.

Tämän tapauksen tekee erityisen huolestuttavaksi ei pelkästään sen laajuus, vaan myös kohde. Bitwarden on laajalti luotettu salasananhallintaohjelma, jota käyttävät niin yksityisyydestään huolta pitävät henkilöt kuin tietoturva-ammattilaisetkin. CLI-versio on erityisen suosittu kehittäjien keskuudessa, jotka integroivat salasananhallintaa automaattisiin työnkulkuihin ja skripteihin. Tämän työkalun vaarantaminen tarkoittaa, että hyökkääjillä on saattanut olla pääsy tunnistetietoihin, jotka kulkevat organisaation infrastruktuurin herkimpien osien läpi.

TeamPCP on tiettävästi uhannut käyttää varastettuja tietoja kiristysohjelmaiskujen toteuttamiseen, mikä tarkoittaa, että tämä tapaus voi olla kaukana ohi.

Miten toimitusketjuhyökkäykset toimivat

Toimitusketjuhyökkäys ei kohdistu sinuun suoraan. Sen sijaan se kohdistuu ohjelmistoihin tai palveluihin, joihin luotat ja joita käytät päivittäin. Tässä tapauksessa hyökkääjät murtautuivat ensin Checkmarxiin, tunnettuun sovellusten tietoturvayritykseen. Sieltä käsin he pystyivät laajentamaan ulottuvuuttaan Bitwardenin CLI-työkaluihin.

Tämä lähestymistapa on tuhoisin tehokas, koska se hyödyntää luottamusta. Kun asennat työkalun luottamaltasi toimittajalta, luotat implisiittisesti kaikkiin osiin kyseisen toimittajan omasta kehitys- ja jakeluputkesta. Jos jokin lenkki tuossa ketjussa vaarantuu, haitallinen koodi tai pääsy voi virrata suoraan sinulle ilman mitään ilmeisiä varoitusmerkkejä.

Kehittäjät ovat erityisen arvokas kohde näissä tilanteissa. Heillä on tyypillisesti korotetut järjestelmäoikeudet, pääsy lähdekoodivarastoihin, pilvi-infrastruktuurin tunnistetietoihin ja API-avaimiin. Kehittäjän päivittäisessä työnkulussa olevan työkalun vaarantaminen voi antaa hyökkääjille laajan pääsyn koko organisaatioon.

Mitä tämä tarkoittaa sinulle

Jos käytät Bitwardenin CLI-työkalua, erityisesti automatisoiduissa tai skriptatuissa ympäristöissä, sinun tulisi pitää kaikkia sen kautta kulkeneita tunnistetietoja mahdollisesti vaarantuneina. Tämä tarkoittaa salasanojen vaihtamista, API-avainten peruuttamista ja käyttölokien tarkastamista epätavallisen toiminnan varalta.

Tämä tapaus sisältää kuitenkin myös laajemman opetuksen siitä, miten useimmat ihmiset ajattelevat tietoturva-asemaansa. Monet käyttäjät ja jopa yritykset tukeutuvat pieneen määrään työkaluja yksityisyytensä ja tietoturvansa perustana: VPN verkkoliikenteen yksityisyyttä varten, salasananhallintaohjelma tunnistetietojen turvaamiseen ja ehkä kaksivaiheinen tunnistautuminen tärkeimmillä tileillä. Tämä hyökkäys osoittaa, että jopa nuo perustyökalut voidaan horjuttaa.

VPN esimerkiksi suojaa verkkoliikennettäsi salakuuntelulta. Se ei voi suojata sinua, jos salasananhallintaohjelma, jota käytät VPN-tunnistetietojesi tallentamiseen, on itse vaarantunut. Juuri siksi tietoturva-ammattilaiset puhuvat syvyyspuolustuksesta: useiden, toisistaan riippumattomien kontrollien kerroksittaisesta rakentamisesta, jotta yhden epäonnistuminen ei johda täydelliseen altistumiseen.

Joitakin käytännön toimenpiteitä kokonaisasemasi vahvistamiseksi tämän tapauksen valossa:

  • Vaihda tunnistetiedot välittömästi, jos käytit Bitwardenin CLI:tä automatisoiduissa työnkuluissa tai skripteissä
  • Ota käyttöön laitteistoturva-avaimet tai sovelluspohjainen kaksivaiheinen tunnistautuminen salasananhallintaohjelmatililläsi — älä luota pelkkiin SMS-koodeihin
  • Tarkista, millä työnkulkusi työkaluilla on etuoikeutettu pääsy tunnistetietoihin tai infrastruktuuriin, ja arvioi, ovatko nämä työkalut edelleen tarpeellisia
  • Seuraa toimittajien tietoturvatiedotteita niistä työkaluista, joihin luotat, ja pidä tietoturvayritysten tietomurtoja merkkinä oman altistumisesi arvioimiseen
  • Segmentoi arkaluonteiset tunnistetiedot niin, että yhden alueen vaarantuminen ei anna hyökkääjille avaimia kaikkeen muuhun

Syvyyspuolustus ei ole valinnainen

Bitwardenin CLI:n toimitusketjuhyökkäys muistuttaa, että yhtäkään yksittäistä työkalua, riippumatta sen maineesta, ei voida pitää ehdottomana turvallisuuden takeena. Checkmarx on tietoturvayritys. Bitwarden on tietoturvatyökalu. Molemmat olivat osa ketjua, jonka hyökkääjät onnistuivat hyödyntämään.

Tämä ei tarkoita, että sinun pitäisi hylätä salasananhallintaohjelmat tai lopettaa kehittäjien tietoturvatyökalujen käyttö. Se tarkoittaa, että sinun tulisi rakentaa tietoturvastrategiasi oletuksella, että mikä tahansa yksittäinen komponentti voi joskus pettää. Käytä vahvoja, yksilöllisiä tunnistetietoja eri tileillä. Kerroksi tunnistautumismenetelmäsi. Pysy ajan tasalla, kun teknologiapinoosi kuuluvat toimittajat raportoivat tapauksista.

Tavoitteena ei ole saavuttaa täydellistä tietoturvaa, mikä ei ole mahdollista. Tavoitteena on varmistaa, että kun yksi kerros pettää, seuraava on jo paikallaan. Tarkista nykyinen kokoonpanosi tänään — erityisesti kaikki automatisoidut työnkulut, jotka käsittelevät tunnistetietoja — ja kysy itseltäsi, mihin hyökkääjä pääsisi käsiksi, jos vain yksi luottamistasi työkaluista kääntyisi sinua vastaan.