CLI-ul Bitwarden, compromis într-un atac asupra lanțului de aprovizionare

Un instrument de încredere devine un vector de amenințare

Un atac asupra lanțului de aprovizionare care a început printr-o breșă la firma de securitate Checkmarx s-a extins ca amploare, cercetătorii confirmând pe 27 aprilie că instrumentul Command Line Interface (CLI) al Bitwarden a fost și el compromis. Atacul este atribuit unui grup numit TeamPCP și a expus riscului de furt de credențiale și de divulgare a datelor sensibile peste 10 milioane de utilizatori și 50.000 de afaceri.

Ceea ce face acest incident deosebit de alarmant nu este doar amploarea sa. Este ținta vizată. Bitwarden este un manager de parole foarte apreciat, folosit atât de persoane preocupate de confidențialitate, cât și de profesioniști în securitate. Versiunea CLI este deosebit de populară printre dezvoltatorii care integrează gestionarea parolelor în fluxuri de lucru automatizate și scripturi. Compromiterea acestui instrument înseamnă că atacatorii ar fi putut avea acces la credențialele care tranzitau unele dintre cele mai sensibile componente ale infrastructurii unei organizații.

Se pare că TeamPCP a amenințat că va folosi datele furate pentru a lansa campanii de ransomware ulterioare, ceea ce înseamnă că acest incident poate fi departe de a se fi încheiat.

Cum funcționează atacurile asupra lanțului de aprovizionare

Un atac asupra lanțului de aprovizionare nu te vizează direct pe tine. În schimb, vizează software-ul sau serviciile în care ai încredere și pe care le folosești zilnic. În acest caz, atacatorii au breșat mai întâi Checkmarx, o companie bine-cunoscută de securitate a aplicațiilor. De acolo, au reușit să-și extindă accesul în instrumentele CLI ale Bitwarden.

Această abordare este devastator de eficientă deoarece exploatează încrederea. Când instalezi un instrument de la un furnizor pe care te bazezi, ai în mod implicit încredere în fiecare parte a propriului lanț de dezvoltare și distribuție al acelui furnizor. Dacă oricare verigă din acel lanț este compromisă, codul malițios sau accesul poate ajunge direct la tine fără semne de avertizare evidente.

Dezvoltatorii sunt o țintă cu valoare deosebit de ridicată în aceste scenarii. Aceștia au de obicei privilegii de sistem ridicate, acces la depozitare de cod sursă, credențiale de infrastructură cloud și chei API. Compromiterea unui instrument aflat în fluxul de lucru zilnic al unui dezvoltator poate oferi atacatorilor acces larg la întreaga organizație.

Ce înseamnă acest lucru pentru tine

Dacă folosești instrumentul CLI al Bitwarden, mai ales în medii automatizate sau cu scripturi, ar trebui să tratezi orice credențiale care au trecut prin acesta ca fiind potențial compromise. Aceasta înseamnă rotirea parolelor, revocarea cheilor API și auditarea jurnalelor de acces pentru activitate neobișnuită.

Dar acest incident transmite și o lecție mai amplă despre modul în care majoritatea oamenilor își concep postura de securitate. Mulți utilizatori și chiar afaceri se bazează pe un număr mic de instrumente pentru a-și ancora confidențialitatea și securitatea: un VPN pentru confidențialitatea în rețea, un manager de parole pentru siguranța credențialelor și, poate, autentificarea în doi factori pe conturile cheie. Acest atac demonstrează că până și acele instrumente de bază pot fi subminate.

Un VPN, de exemplu, îți protejează traficul de rețea de interceptare. Nu te poate proteja dacă managerul de parole pe care îl folosești pentru a stoca credențialele VPN a fost el însuși compromis. Acesta este exact motivul pentru care profesioniștii în securitate vorbesc despre apărarea în profunzime: stratificarea mai multor controale independente, astfel încât eșecul unuia dintre ele să nu ducă la expunere totală.

Câțiva pași practici pentru a-ți consolida postura generală în lumina acestui incident:

• Rotește imediat credențialele dacă ai folosit CLI-ul Bitwarden în fluxuri de lucru automatizate sau scripturi
• Activează chei de securitate hardware sau autentificare în doi factori bazată pe aplicație pentru contul tău de manager de parole, nu doar coduri prin SMS
• Auditează care instrumente din fluxul tău de lucru au acces privilegiat la credențiale sau infrastructură și verifică dacă acele instrumente sunt încă necesare
• Monitorizează avizele de securitate ale furnizorilor de la instrumentele de care depinzi și tratează breșele de la firmele de securitate ca pe un semnal de a-ți revizui propria expunere
• Segmentează credențialele sensibile astfel încât un compromis într-o zonă să nu le ofere atacatorilor acces la toate celelalte

Apărarea în profunzime nu este opțională

Atacul asupra lanțului de aprovizionare al CLI-ului Bitwarden ne reamintește că niciun instrument, oricât de reputat, nu poate fi tratat drept o garanție necondiționată de siguranță. Checkmarx este o companie de securitate. Bitwarden este un instrument de securitate. Ambele au făcut parte dintr-un lanț pe care atacatorii l-au exploatat cu succes.

Aceasta nu înseamnă că ar trebui să abandonezi managerii de parole sau să nu mai folosești instrumentele de securitate pentru dezvoltatori. Înseamnă că ar trebui să-ți construiești strategia de securitate pornind de la premisa că orice componentă individuală ar putea eșua într-o zi. Folosește credențiale puternice și unice pentru conturi. Stratifică metodele de autentificare. Rămâi informat atunci când furnizorii din stack-ul tău raportează incidente.

Scopul nu este să atingi o securitate perfectă, ceea ce nu este posibil. Scopul este să te asiguri că atunci când un strat eșuează, următorul este deja în loc. Revizuiește configurația actuală astăzi, în special orice fluxuri de lucru automatizate care gestionează credențiale, și întreabă-te la ce ar putea accesa un atacator dacă doar unul dintre instrumentele tale de încredere ar fi folosit împotriva ta.