เครื่องมือที่น่าเชื่อถือกลายเป็นช่องทางของภัยคุกคาม
การโจมตีแบบ Supply Chain ที่เริ่มต้นจากการละเมิดระบบของบริษัทรักษาความปลอดภัย Checkmarx ได้ขยายขอบเขตออกไป โดยนักวิจัยยืนยันเมื่อวันที่ 27 เมษายนว่าเครื่องมือ Command Line Interface (CLI) ของ Bitwarden ก็ถูกโจมตีด้วยเช่นกัน การโจมตีนี้ถูกระบุว่าเป็นฝีมือของกลุ่มที่ชื่อว่า TeamPCP และได้ทำให้ผู้ใช้งานกว่า 10 ล้านคนและธุรกิจกว่า 50,000 แห่งตกอยู่ในความเสี่ยงต่อการถูกขโมยข้อมูลประจำตัวและการเปิดเผยข้อมูลที่ละเอียดอ่อน
สิ่งที่ทำให้เหตุการณ์นี้น่าตกใจเป็นพิเศษไม่ใช่แค่ขนาดของการโจมตี แต่คือเป้าหมาย Bitwarden เป็นผู้จัดการรหัสผ่านที่ได้รับความไว้วางใจอย่างกว้างขวาง ใช้โดยทั้งบุคคลที่ให้ความสำคัญกับความเป็นส่วนตัวและผู้เชี่ยวชาญด้านความปลอดภัย เวอร์ชัน CLI ได้รับความนิยมเป็นพิเศษในหมู่นักพัฒนาที่นำการจัดการรหัสผ่านไปรวมเข้ากับเวิร์กโฟลว์อัตโนมัติและสคริปต์ต่าง ๆ การที่เครื่องมือดังกล่าวถูกโจมตีหมายความว่าผู้โจมตีอาจสามารถเข้าถึงข้อมูลประจำตัวที่ไหลผ่านส่วนที่มีความละเอียดอ่อนที่สุดของโครงสร้างพื้นฐานขององค์กร
รายงานระบุว่า TeamPCP ได้ขู่ว่าจะใช้ข้อมูลที่ขโมยมาเพื่อเปิดฉากการโจมตีด้วยแรนซัมแวร์ต่อเนื่อง ซึ่งหมายความว่าเหตุการณ์นี้อาจยังไม่สิ้นสุด
Supply Chain Attack ทำงานอย่างไร
การโจมตีแบบ Supply Chain ไม่ได้มุ่งเป้าโจมตีคุณโดยตรง แต่จะมุ่งเป้าไปที่ซอฟต์แวร์หรือบริการที่คุณเชื่อถือและใช้งานในชีวิตประจำวัน ในกรณีนี้ ผู้โจมตีได้บุกรุก Checkmarx ซึ่งเป็นบริษัทรักษาความปลอดภัยแอปพลิเคชันที่เป็นที่รู้จักก่อน จากนั้นจึงสามารถขยายการเข้าถึงไปยังเครื่องมือ CLI ของ Bitwarden ได้
วิธีการนี้มีประสิทธิภาพอย่างร้ายกาจเพราะมันใช้ประโยชน์จากความไว้วางใจ เมื่อคุณติดตั้งเครื่องมือจากผู้จำหน่ายที่คุณพึ่งพา คุณกำลังวางใจในทุกส่วนของกระบวนการพัฒนาและการกระจายซอฟต์แวร์ของผู้จำหน่ายรายนั้นโดยปริยาย หากส่วนใดในห่วงโซ่นั้นถูกโจมตี โค้ดที่เป็นอันตรายหรือการเข้าถึงก็สามารถส่งต่อมายังคุณได้โดยตรงโดยไม่มีสัญญาณเตือนที่ชัดเจน
นักพัฒนาเป็นเป้าหมายที่มีมูลค่าสูงเป็นพิเศษในสถานการณ์เหล่านี้ พวกเขามักมีสิทธิ์การเข้าถึงระบบในระดับสูง สามารถเข้าถึง Source Code Repository ข้อมูลประจำตัวสำหรับโครงสร้างพื้นฐานบนคลาวด์ และ API Key ต่าง ๆ การโจมตีเครื่องมือที่อยู่ในเวิร์กโฟลว์ประจำวันของนักพัฒนาอาจทำให้ผู้โจมตีสามารถเข้าถึงได้อย่างกว้างขวางทั่วทั้งองค์กร
สิ่งที่คุณควรทำ
หากคุณใช้เครื่องมือ CLI ของ Bitwarden โดยเฉพาะในสภาพแวดล้อมอัตโนมัติหรือแบบสคริปต์ คุณควรถือว่าข้อมูลประจำตัวใด ๆ ที่ผ่านเครื่องมือนั้นอาจถูกโจมตีแล้ว ซึ่งหมายถึงการเปลี่ยนรหัสผ่าน การเพิกถอน API Key และการตรวจสอบ Access Log เพื่อหากิจกรรมที่ผิดปกติ
แต่เหตุการณ์นี้ยังสะท้อนให้เห็นบทเรียนที่กว้างกว่านั้นเกี่ยวกับวิธีที่ผู้คนส่วนใหญ่มองการรักษาความปลอดภัยของตนเอง ผู้ใช้งานและแม้แต่ธุรกิจจำนวนมากพึ่งพาเครื่องมือจำนวนน้อยชนิดเพื่อเป็นหลักในการรักษาความเป็นส่วนตัวและความปลอดภัย ได้แก่ VPN สำหรับความเป็นส่วนตัวบนเครือข่าย ผู้จัดการรหัสผ่านสำหรับความปลอดภัยของข้อมูลประจำตัว และบางทีก็มีการยืนยันตัวตนแบบสองปัจจัยในบัญชีสำคัญ การโจมตีครั้งนี้แสดงให้เห็นว่าแม้แต่เครื่องมือหลักเหล่านั้นก็สามารถถูกบ่อนทำลายได้
ตัวอย่างเช่น VPN ช่วยปกป้องการรับส่งข้อมูลบนเครือข่ายของคุณจากการดักฟัง แต่ไม่สามารถปกป้องคุณได้หากผู้จัดการรหัสผ่านที่คุณใช้เก็บข้อมูลประจำตัว VPN ของคุณถูกโจมตีเสียเอง นี่คือเหตุผลที่แน่ชัดว่าทำไมผู้เชี่ยวชาญด้านความปลอดภัยจึงพูดถึงการป้องกันแบบหลายชั้น (Defense-in-Depth) ซึ่งเป็นการวางการควบคุมหลายระดับที่เป็นอิสระจากกัน เพื่อให้ความล้มเหลวของระดับใดระดับหนึ่งไม่ก่อให้เกิดการเปิดเผยข้อมูลทั้งหมด
ขั้นตอนเชิงปฏิบัติเพื่อเสริมความแข็งแกร่งให้กับการรักษาความปลอดภัยโดยรวมของคุณในแง่ของเหตุการณ์นี้:
- เปลี่ยนข้อมูลประจำตัวทันที หากคุณใช้ CLI ของ Bitwarden ในเวิร์กโฟลว์อัตโนมัติหรือสคริปต์
- เปิดใช้งาน Hardware Security Key หรือการยืนยันตัวตนแบบสองปัจจัยผ่านแอปพลิเคชัน ในบัญชีผู้จัดการรหัสผ่านของคุณ ไม่ใช่แค่รหัส SMS
- ตรวจสอบว่าเครื่องมือใดในเวิร์กโฟลว์ของคุณมีสิทธิ์เข้าถึงข้อมูลประจำตัวหรือโครงสร้างพื้นฐาน และพิจารณาว่าเครื่องมือเหล่านั้นยังจำเป็นอยู่หรือไม่
- ติดตามประกาศด้านความปลอดภัยจากผู้จำหน่าย ที่คุณพึ่งพา และถือว่าการละเมิดระบบของบริษัทรักษาความปลอดภัยเป็นสัญญาณให้ทบทวนความเสี่ยงของตนเอง
- แบ่งแยกข้อมูลประจำตัวที่มีความละเอียดอ่อน เพื่อไม่ให้การถูกโจมตีในพื้นที่หนึ่งมอบกุญแจทุกดอกให้แก่ผู้โจมตี
Defense-in-Depth ไม่ใช่ทางเลือก แต่เป็นสิ่งจำเป็น
การโจมตีแบบ Supply Chain ต่อ Bitwarden CLI เตือนให้เราตระหนักว่าไม่มีเครื่องมือใดชิ้นเดียว ไม่ว่าจะมีชื่อเสียงเพียงใด ที่สามารถถือว่าเป็นการรับประกันความปลอดภัยอย่างไม่มีเงื่อนไขได้ Checkmarx เป็นบริษัทรักษาความปลอดภัย Bitwarden เป็นเครื่องมือรักษาความปลอดภัย ทั้งสองล้วนเป็นส่วนหนึ่งของห่วงโซ่ที่ผู้โจมตีสามารถใช้ประโยชน์ได้สำเร็จ
นั่นไม่ได้หมายความว่าคุณควรเลิกใช้ผู้จัดการรหัสผ่านหรือหยุดใช้เครื่องมือรักษาความปลอดภัยสำหรับนักพัฒนา แต่หมายความว่าคุณควรสร้างกลยุทธ์ด้านความปลอดภัยโดยมีสมมติฐานว่าส่วนประกอบแต่ละส่วนอาจล้มเหลวได้ในวันใดวันหนึ่ง ใช้ข้อมูลประจำตัวที่แข็งแกร่งและไม่ซ้ำกันในทุกบัญชี วางชั้นการยืนยันตัวตนหลายระดับ และติดตามข่าวสารเมื่อผู้จำหน่ายในระบบของคุณรายงานเหตุการณ์ต่าง ๆ
เป้าหมายไม่ใช่การบรรลุความปลอดภัยสมบูรณ์แบบ ซึ่งเป็นไปไม่ได้ แต่เป้าหมายคือการทำให้แน่ใจว่าเมื่อชั้นหนึ่งล้มเหลว ชั้นถัดไปก็พร้อมอยู่แล้ว ทบทวนการตั้งค่าปัจจุบันของคุณวันนี้ โดยเฉพาะเวิร์กโฟลว์อัตโนมัติใด ๆ ที่จัดการข้อมูลประจำตัว และถามตัวเองว่าผู้โจมตีจะสามารถเข้าถึงอะไรได้บ้าง หากเครื่องมือที่คุณเชื่อถือเพียงชิ้นเดียวถูกใช้ต่อต้านคุณ
