软件供应链威胁和漏洞

什么是供应链攻击?

供应链攻击是通过第三方供应商或供应商的集成组件向供应链系统注入恶意有效载荷来策划的。由于现代云原生应用程序的松散耦合特性，以及公众对网络威胁的认识不足，近年来，具有高度影响力的供应链攻击有所增加。供应链攻击也被称为价值链或第三方攻击，针对的是含有已知漏洞的商业、现成解决方案和开源组件。它的影响范围从无害的漏洞利用到供应链的完全破坏。

供应链攻击通常分为：

基于硬件：不安全的硬件配置用于托管应用程序并将其连接到用户。其中可能包括预装恶意软件的设备以及可公开访问的网络设备等。这些攻击旨在在部署阶段的初始阶段感染小工具，并进一步利用这些小工具进进行更深层次的、全网络范围的攻击。

基于软件：这些攻击会在源代码、操作系统、库以及应用程序中使用的几乎所有其他软件中增加缺陷。这些软件组件内部的固有漏洞会被进一步滥用，注入恶意软件和恶意代码，从而中断整个供应链。

基于固件：这些供应链攻击是通过将恶意代码注入设备的启动代码来发起的。尽管固件供应链攻击执行速度快且难以检测，但基于固件的攻击是网络犯罪分子针对供应链系统最广泛滥用的技术之一。

供应链攻击案例

太阳风供应链攻击

SolarWinds黑客攻击是针对SolarWindsOrion软件访问联邦政府机构和私营公司网络的全球供应链攻击。这次攻击是通过劫持Orion的应用程序编译过程来策划的，目的是在有效的，数字签名的Orion更新中放置一个后门。这些格式错误的更新作为特洛伊木马安装包发送到客户端计算机几个月，但未被检测到。SolarWinds黑客攻击被认为是最近最具影响力的供应链攻击之一，它提高了组织对安全风险的认识，并引发了各个实体之间的合作，以应对不断上升的网络犯罪。

Kaseya VSA供应链勒索软件攻击

2021年7月，Kaseya发现其VSA管理的服务程序受到了活跃的勒索软件攻击。VSA是Kaseya的云服务套件，它可以促进更新和安全补丁。此次攻击是由REvil实施的该组织利用一个已知的0 day漏洞进入了Kaseya系统，该组织仍在试图修复该漏洞。这次攻击导致60个直接客户数据泄露，1500家企业受到影响，黑客要求支付7000万美元的赎金才能解锁受影响的设备。虽然几家受影响的公司能够使用备份恢复他们的系统，但其他公司提出支付个人赎金，金额在4万至22万美元之间。攻击发生一周后，Kaseya声称已经获得了进一步提供给受影响客户的主解密密钥。

Target数据泄露

2013年7月，Target 遭遇数据泄露，攻击者访问了近7000万用户账户和4000万条支付卡记录。这次攻击是通过第三方供应商泄露的证书恶意渗透Target 公司的网络发起的。这些凭证进一步被用来利用Target基础设施中的其他漏洞访问用户数据库，并安装恶意软件，暴露客户记录，包括用户的姓名、联系方式、卡号、验证码和其他敏感信息。

Target花了大约两周的时间来检测和识别漏洞。这次攻击对Target百货公司造成了巨大的经济影响，这家零售巨头向受影响的用户支付了1850万美元。Target还遭受了收入损失，在袭击发生后的几个月里销售额下降了46%。在这次攻击之后，该公司声称提高了反击网络攻击的能力，并发行了安全的芯片-pin卡，以降低卡被利用的可能性。

供应链攻击用户泄漏的影响

在现代应用程序交付中，软件组件的可重用性扩展了可以在攻击序列中重复利用的攻击面。因为利用一个组件的缺陷就打开了滥用整个供应链的大门。供应链攻击的影响包括:

恶意软件感染：攻击者依靠第三方软件漏洞向应用程序开发管道中注入恶意代码和程序。攻击的效果最终取决于恶意软件的复杂程度和目标系统承载的数据。

数据泄露和受损：恶意行为者依靠供应链漏洞将数据泄露工具安装到软件开发管道中。通过渗透工具传递的任何信息(包括用户和系统级数据)都将发送到攻击者控制的主机。

财务损失：针对电子商务系统、支付卡供应商和零售店的供应链攻击通常会导致身份欺诈造成的直接财务损失。由于供应链攻击而遭受数据泄露的组织也会受到监管机构的巨额处罚，并最终导致声誉受损。

管理供应链风险和脆弱性

由于第三方供应商系统的供应链漏洞，它们通常难以控制。根据易受攻击的工作负载类型及其直接集成的组件，减轻基于此类漏洞的攻击有不同组合的解决方法。

识别供应链漏洞的方法

尽管不同的情况需要专门的方法来适应其部署框架，但这里有两种常用的方法来识别供应链漏洞:

持续漏洞扫描

开发人员和安全团队需要协作实施自动化、持续的安全漏洞扫描，如静态代码安全检测、动态测试及软件组件分析等，以检测整个供应链中的潜在缺陷。持续的扫描过程有助于识别存在漏洞利用风险的组件，包括源代码、进程和服务。高级供应链漏洞评估应生成部署中使用的所有组件的记录，包括组件级威胁，以及所有第三方软件的漏洞评级。

渗透测试

在识别第三方安全风险之后，开发人员和QA团队应该测试每个漏洞，以模拟恶意行为者可能执行的最可能的攻击序列。团队还应为道德黑客和渗透测试建立一个虚拟数据和功能的蜜罐。这些蜜罐可以进一步与端点检测解决方案相结合，以确保可观察性和易受攻击端点的检测。全面渗透测试有助于模拟攻击模式，同时提供关于恶意行为者如何利用供应链风险成功利用的有效信息。

来源：

https://crashtest-security.com/supply-chain-attack/