Bitwarden CLI скомпрометирован в результате атаки на цепочку поставок

Доверенный инструмент становится вектором угрозы

Атака на цепочку поставок, начавшаяся со взлома компании по кибербезопасности Checkmarx, расширила свой масштаб: 27 апреля исследователи подтвердили, что инструмент командной строки (CLI) Bitwarden также был скомпрометирован. Атака приписывается группировке под названием TeamPCP, и она поставила под угрозу кражи учётных данных и утечки конфиденциальных данных более 10 миллионов пользователей и 50 000 организаций.

Этот инцидент вызывает особую тревогу не только из-за своего масштаба. Дело в самой мишени. Bitwarden — широко используемый и пользующийся доверием менеджер паролей, которым пользуются как люди, заботящиеся о конфиденциальности, так и специалисты по безопасности. Версия CLI особенно популярна среди разработчиков, которые интегрируют управление паролями в автоматизированные рабочие процессы и скрипты. Компрометация этого инструмента означает, что злоумышленники могли получить доступ к учётным данным, циркулирующим в наиболее чувствительных частях инфраструктуры организаций.

По имеющимся сведениям, TeamPCP угрожает использовать похищенные данные для проведения последующих атак с применением программ-вымогателей, а значит, этот инцидент может быть далеко не завершён.

Как работают атаки на цепочку поставок

Атака на цепочку поставок направлена не против вас напрямую. Вместо этого она нацелена на программное обеспечение или сервисы, которым вы доверяете и которыми пользуетесь каждый день. В данном случае злоумышленники сначала взломали Checkmarx — известную компанию в сфере безопасности приложений. Оттуда им удалось распространить своё влияние на инструментарий CLI Bitwarden.

Этот подход чрезвычайно эффективен, поскольку эксплуатирует доверие. Когда вы устанавливаете инструмент от поставщика, на которого полагаетесь, вы неявно доверяете каждому звену его собственного конвейера разработки и распространения. Если любое звено в этой цепи оказывается скомпрометировано, вредоносный код или несанкционированный доступ могут беспрепятственно проникнуть к вам без каких-либо очевидных предупреждающих признаков.

Разработчики являются особенно ценной целью в подобных сценариях. Как правило, они обладают расширенными системными привилегиями, доступом к репозиториям исходного кода, учётными данными облачной инфраструктуры и ключами API. Компрометация инструмента, присутствующего в ежедневном рабочем процессе разработчика, может открыть злоумышленникам широкий доступ ко всей организации.

Что это значит для вас

Если вы используете инструмент CLI Bitwarden, особенно в автоматизированных или скриптовых средах, следует считать все учётные данные, прошедшие через него, потенциально скомпрометированными. Это означает необходимость смены паролей, отзыва ключей API и аудита журналов доступа на предмет подозрительной активности.

Однако этот инцидент несёт в себе и более широкий урок о том, как большинство людей воспринимают своё положение дел в сфере безопасности. Многие пользователи и даже организации опираются на небольшое число инструментов, служащих опорой их конфиденциальности и безопасности: VPN для защиты сетевого трафика, менеджер паролей для хранения учётных данных и, возможно, двухфакторная аутентификация для ключевых аккаунтов. Эта атака показывает, что даже такие опорные инструменты могут быть подорваны.

VPN, например, защищает ваш сетевой трафик от перехвата. Но он не защитит вас, если менеджер паролей, в котором хранятся учётные данные для вашего VPN, сам оказался скомпрометирован. Именно поэтому специалисты по безопасности говорят об эшелонированной защите: многоуровневом применении нескольких независимых средств контроля, при котором отказ одного из них не приводит к полному раскрытию данных.

Несколько практических шагов для укрепления общей защиты с учётом этого инцидента:

• Немедленно смените учётные данные, если вы использовали CLI Bitwarden в автоматизированных рабочих процессах или скриптах
• Включите аппаратные ключи безопасности или приложения для двухфакторной аутентификации в своём аккаунте менеджера паролей — не ограничивайтесь кодами по SMS
• Проведите аудит инструментов в вашем рабочем процессе, имеющих привилегированный доступ к учётным данным или инфраструктуре, и оцените, действительно ли эти инструменты по-прежнему необходимы
• Следите за уведомлениями безопасности от поставщиков инструментов, на которые вы полагаетесь, и расценивайте взломы компаний в сфере безопасности как сигнал для проверки собственной уязвимости
• Разграничивайте конфиденциальные учётные данные, чтобы компрометация в одной области не передавала злоумышленникам доступ ко всему остальному

Эшелонированная защита не является опциональной

Атака на цепочку поставок Bitwarden CLI напоминает: ни один инструмент, сколь бы авторитетным он ни был, не может рассматриваться как безусловная гарантия безопасности. Checkmarx — компания в сфере безопасности. Bitwarden — инструмент безопасности. Оба оказались частью цепи, которую злоумышленникам удалось успешно использовать.

Это не означает, что следует отказаться от менеджеров паролей или прекратить использование инструментов безопасности для разработчиков. Это означает, что вы должны выстраивать свою стратегию безопасности, исходя из предположения, что любой отдельный компонент однажды может дать сбой. Используйте надёжные уникальные учётные данные для разных аккаунтов. Применяйте многоуровневые методы аутентификации. Следите за сообщениями об инцидентах от поставщиков, входящих в ваш стек технологий.

Цель состоит не в достижении абсолютной безопасности — это невозможно. Цель — убедиться, что когда один уровень защиты даёт сбой, следующий уже стоит на месте. Проверьте свою текущую конфигурацию уже сегодня, уделив особое внимание автоматизированным рабочим процессам, работающим с учётными данными, и спросите себя: к чему мог бы получить доступ злоумышленник, если бы хотя бы один из ваших доверенных инструментов был обращён против вас.