Bitwarden CLI skompromitowane w ataku na łańcuch dostaw

Zaufane narzędzie staje się wektorem ataku

Atak na łańcuch dostaw, który rozpoczął się od naruszenia bezpieczeństwa w firmie Checkmarx, rozszerzył swój zasięg — badacze potwierdzili 27 kwietnia, że narzędzie Command Line Interface (CLI) Bitwarden również zostało skompromitowane. Atak przypisywany jest grupie o nazwie TeamPCP i naraził ponad 10 milionów użytkowników oraz 50 000 firm na kradzież danych uwierzytelniających i ujawnienie poufnych informacji.

To, co czyni ten incydent szczególnie alarmującym, to nie tylko jego skala. To cel ataku. Bitwarden jest powszechnie zaufanym menedżerem haseł, używanym zarówno przez osoby dbające o prywatność, jak i przez specjalistów ds. bezpieczeństwa. Wersja CLI jest szczególnie popularna wśród deweloperów, którzy integrują zarządzanie hasłami z automatycznymi przepływami pracy i skryptami. Skompromitowanie tego narzędzia oznacza, że atakujący mogli mieć dostęp do danych uwierzytelniających przepływających przez niektóre z najbardziej wrażliwych części infrastruktury organizacji.

Jak podają doniesienia, TeamPCP zagroził wykorzystaniem skradzionych danych do przeprowadzenia kolejnych kampanii ransomware, co oznacza, że ten incydent może być daleki od zakończenia.

Jak działają ataki na łańcuch dostaw

Atak na łańcuch dostaw nie jest wymierzony bezpośrednio w ciebie. Zamiast tego celuje w oprogramowanie lub usługi, którym ufasz i z których korzystasz na co dzień. W tym przypadku atakujący najpierw naruszyli bezpieczeństwo Checkmarx — dobrze znane firmy zajmującej się bezpieczeństwem aplikacji. Stamtąd byli w stanie rozszerzyć swój zasięg na narzędzia CLI Bitwarden.

To podejście jest niezwykle skuteczne, ponieważ wykorzystuje zaufanie. Gdy instalujesz narzędzie od dostawcy, na którym polegasz, niejako ufasz każdemu elementowi potoku rozwoju i dystrybucji tego dostawcy. Jeśli jakiekolwiek ogniwo w tym łańcuchu zostanie skompromitowane, złośliwy kod lub dostęp może trafić bezpośrednio do ciebie bez żadnych oczywistych sygnałów ostrzegawczych.

Deweloperzy są szczególnie cennym celem w takich scenariuszach. Zazwyczaj posiadają podwyższone uprawnienia systemowe, dostęp do repozytoriów kodu źródłowego, dane uwierzytelniające do infrastruktury chmurowej oraz klucze API. Skompromitowanie narzędzia stanowiącego część codziennego przepływu pracy dewelopera może dać atakującym szeroki dostęp do całej organizacji.

Co to oznacza dla ciebie

Jeśli korzystasz z narzędzia CLI Bitwarden, zwłaszcza w środowiskach zautomatyzowanych lub opartych na skryptach, powinieneś traktować wszelkie dane uwierzytelniające, które przez nie przepłynęły, jako potencjalnie skompromitowane. Oznacza to rotację haseł, unieważnienie kluczy API i audyt dzienników dostępu pod kątem nietypowej aktywności.

Jednak ten incydent niesie ze sobą szerszą lekcję dotyczącą tego, jak większość ludzi postrzega swoją postawę w zakresie bezpieczeństwa. Wielu użytkowników, a nawet firmy, polega na niewielkiej liczbie narzędzi stanowiących fundament ich prywatności i bezpieczeństwa: VPN do ochrony prywatności sieciowej, menedżer haseł do bezpiecznego przechowywania danych uwierzytelniających i być może uwierzytelnianie dwuskładnikowe na kluczowych kontach. Ten atak pokazuje, że nawet te fundamentalne narzędzia mogą zostać podważone.

VPN na przykład chroni ruch sieciowy przed przechwyceniem. Nie może jednak chronić cię, jeśli menedżer haseł, w którym przechowujesz dane uwierzytelniające do VPN, sam został skompromitowany. To właśnie dlatego specjaliści ds. bezpieczeństwa mówią o obronie wielowarstwowej: nakładaniu wielu, niezależnych zabezpieczeń, tak aby awaria jednego z nich nie skutkowała całkowitym narażeniem na ryzyko.

Kilka praktycznych kroków w celu wzmocnienia ogólnej postawy bezpieczeństwa w świetle tego incydentu:

• Natychmiast dokonaj rotacji danych uwierzytelniających, jeśli używałeś CLI Bitwarden w zautomatyzowanych przepływach pracy lub skryptach
• Włącz sprzętowe klucze bezpieczeństwa lub aplikacyjne uwierzytelnianie dwuskładnikowe na swoim koncie menedżera haseł, a nie tylko kody SMS
• Przeprowadź audyt narzędzi w swoim przepływie pracy, które mają uprzywilejowany dostęp do danych uwierzytelniających lub infrastruktury, i sprawdź, czy te narzędzia są nadal niezbędne
• Monitoruj biuletyny bezpieczeństwa dostawców narzędzi, od których jesteś zależny, i traktuj naruszenia bezpieczeństwa firm z branży jako sygnał do przeglądu własnego narażenia
• Segmentuj wrażliwe dane uwierzytelniające, aby kompromitacja w jednym obszarze nie dawała atakującym dostępu do wszystkiego

Obrona wielowarstwowa nie jest opcjonalna

Atak na łańcuch dostaw wymierzony w CLI Bitwarden przypomina, że żadnego pojedynczego narzędzia, bez względu na jego renomę, nie można traktować jako bezwarunkowej gwarancji bezpieczeństwa. Checkmarx jest firmą zajmującą się bezpieczeństwem. Bitwarden jest narzędziem bezpieczeństwa. Oba były częścią łańcucha, który atakującym udało się skutecznie wykorzystać.

Nie oznacza to, że powinieneś porzucić menedżery haseł lub przestać używać narzędzi bezpieczeństwa dla deweloperów. Oznacza to, że powinieneś budować swoją strategię bezpieczeństwa przy założeniu, że każdy pojedynczy komponent może pewnego dnia zawieść. Używaj silnych, unikalnych danych uwierzytelniających na wszystkich kontach. Stosuj wielowarstwowe metody uwierzytelniania. Bądź na bieżąco, gdy dostawcy w twoim stosie technologicznym zgłaszają incydenty.

Celem nie jest osiągnięcie doskonałego bezpieczeństwa, co nie jest możliwe. Celem jest zapewnienie, że gdy jedna warstwa zawiedzie, następna jest już na miejscu. Przejrzyj swoją obecną konfigurację już dziś, zwłaszcza wszelkie zautomatyzowane przepływy pracy obsługujące dane uwierzytelniające, i zadaj sobie pytanie, do czego atakujący mógłby uzyskać dostęp, gdyby tylko jedno z twoich zaufanych narzędzi zostało obrócone przeciwko tobie.