La brèche CodeCov deviendra-t-elle le prochain grand piratage de la chaîne d’approvisionnement de logiciels?
Français
Il est toujours bon d’avoir votre radar le jour du poisson d’avril, constamment à la recherche de farces ou de sottises potentielles. Pour une entreprise, ce qu’ils ont découvert le 1er avril était loin d’être une blague.
Hier, l’éditeur de logiciels Codecov, qui vend un outil permettant aux développeurs de mesurer la couverture des tests de leur base de code, a révélé qu’il avait subi une violation. En particulier, les attaquants ont exploité un bogue dans le processus de création d’image Docker de l’entreprise pour accéder à un script Bash Uploader conçu pour cartographier les environnements de développement et faire rapport à l’entreprise. Cette petite modification appelait discrètement les informations d’identification des utilisateurs qui auraient pu être utilisées pour accéder et exfiltrer les données de l’environnement d’intégration continue de leurs utilisateurs.
Dans une note publiée sur le site Web de Codecov, le PDG Jerrod Engelberg a déclaré que toutes les informations d’identification, jetons d’authentification ou clés exécutés via le processus CI d’un client affecté étaient exposés et que l’attaquant aurait eu accès à tous les services, banques de données et applications correspondants. code et référentiels git accessibles par ces informations d’identification.
Après avoir découvert la brèche le 1er avril, une enquête de suivi a déterminé que l’acteur menaçant était dans leur réseau depuis au moins le 31 janvier, sans être détecté pendant des mois. La vulnérabilité affectait également trois autres uploaders bash: Codecov CircleCI Orb, uploader Codecov-actions pour GitHub et Codecov Bitrise Step.
«Nous recommandons vivement aux utilisateurs concernés de relancer immédiatement tous leurs identifiants, jetons ou clés situés dans les variables d’environnement de leurs processus CI qui utilisaient l’un des Bash Uploaders de Codecov», a conseillé Engelberg.
Codecov n’a pas révélé combien de ses clients avaient été touchés, affirmant seulement qu’ils avaient informé toutes les parties concernées par écrit. Les détails connus de l’intrusion, la nature du travail de l’entreprise et sa base de clients ont fait craindre que la brèche ne soit juste la première chaussure à tomber dans un compromis plus large de la chaîne d’approvisionnement de logiciels avec un potentiel d’effets désordonnés en aval. Il répertorie un certain nombre de clients de haut niveau sur son site Web, notamment le Washington Post, Atlassian, Mozilla, SweetGreen, GoDaddy et d’autres.
Les experts en développement de logiciels et en sécurité atteints par SC Media ont déclaré que le potentiel d’impact en aval sur les utilisateurs de Codecov pourrait être élevé, mais l’ampleur des dommages dépendra d’un certain nombre de facteurs, tels que l’identification et les motivations de l’acteur, comment Codecov architecte leur réseau et quelles précautions, configurations et politiques d’accès chaque utilisateur a mis en place pour son environnement de code.
Connaître l’identité du groupe derrière l’attaque aiderait à faire la lumière sur leurs objectifs possibles, mais plusieurs observateurs ont déclaré que le temps passé par les attaquants sur le réseau de Codecov et l’accent mis sur les informations d’identification indiquent qu’ils étaient plus intéressés à accéder à leurs clients. code que l’entreprise elle-même.
Contrairement à SolarWinds et Microsoft, Codecov n’est pas une société cotée en bourse, compte quelques dizaines d’employés et mesure son chiffre d’affaires annuel à quelques millions de dollars par an. Malgré le profil élevé de certains de leurs clients, ils n’existent que depuis 2014 et ne sont pas particulièrement connus, ce qui indique que l’acteur de la menace a peut-être fait pas mal de devoirs avant de les sélectionner comme cible.
«Je pencherais [towards espionage] juste comme une inclinaison intestinale. Codecov sort des sentiers battus », a déclaré John Bambenek, fondateur du cabinet de conseil en cybersécurité Bambenek Labs. «En fait, le compromis impliquait d’insérer une ligne de code et de donner des informations d’identification. Maintenant, il y a des réseaux criminels qui vendent l’accès aux organisations et aux informations d’identification, il n’est donc pas invraisemblable que ce soit un acteur financier assez sophistiqué qui veuille les vendre, mais si je devais parier, je mets mon argent dans l’espionnage.
Le type d’informations d’identification et l’accès qu’elles fournissent sont également importants. Bambenek a déclaré que s’ils ne mettaient la main qu’à tester les informations d’identification, l’impact serait beaucoup plus limité que si l’acteur de la menace avait accès aux informations d’identification pour l’environnement de production de logiciels des clients.
L’ampleur de la segmentation du réseau de Codecov pourrait également déterminer en partie les informations et données clients auxquelles le groupe aurait pu accéder. John Zanni, PDG d’Acronis, qui se concentre sur la protection des données, le cloud et les services de sécurité logicielle, a déclaré que son entreprise dispose de quatre réseaux distincts: un pour les appareils professionnels uniquement, un pour les appareils domestiques BYOD, un autre pour les invités et les membres de la famille et un pour leurs logiciels. développeurs auxquels même le PDG ne peut accéder.
Ils ne laissent pas non plus leurs développeurs extraire et utiliser du code open source directement à partir d’Internet. Avant de mettre à jour un logiciel, les modifications doivent passer par un processus de vérification et de signature du code par une autre partie, ce qui peut se prémunir contre les oublis involontaires et les menaces internes.
«Il semble que chaque fois que j’embauche un nouveau développeur, c’est la première chose qu’il fait avec le code qu’il a correctement, donc nous devons mettre des contrôles automatisés là-dedans pour que dès que quelqu’un essaie de le faire, il se fait prendre et ça s’arrête». dit Zanni.
De solides politiques de signature de code ont également été citées comme une pratique exemplaire par d’autres. John Loucaides, vice-président de la recherche et du développement de la société de recherche sur les vulnérabilités Eclypsium, a déclaré que la violation représentait un «retour sur investissement énorme pour les attaquants pour attaquer la chaîne d’approvisionnement» et que toute modification du code logiciel devait être approuvée par d’autres parties avant d’être approuvée.
Quinn Wilton, chercheur principal chez Synopsis Software Integrity, a déclaré que la violation démontrait à quel point «la signature de code est plus importante que jamais, et que la transparence autour du stockage et de l’élimination de ces clés de signature de code va être une étape vitale vers l’établissement de la confiance dans les canaux. nous utilisons tous pour distribuer des logiciels. »
Alors que les attaquants n’ont pas été détectés pendant des mois, Bambenek a déclaré que pour une petite entreprise aux ressources limitées comme la recherche de Codecov, enquêter et divulguer un changement insignifiant dans leur code dans les trois mois est en fait impressionnant. Il l’a comparé à la faille SolarWinds, où la société elle-même et plusieurs clients et agences fédérales avec des budgets plus importants ont manqué des changements de code beaucoup plus importants dans la plate-forme de création de logiciels Orion pendant au moins un an, voire plus.
«La prise de pied s’est produite le 31 janvier. Pour une entreprise en démarrage comme celle-là, c’est un travail solide», a déclaré Bambenek, qui conseille souvent les petites entreprises sur la stratégie et les risques de cybersécurité. «Oui, nous aimerions tous que ce soit moins, mais les startups sont une cible facile et jusqu’à présent, il semble qu’elles y répondent aussi bien qu’elles le peuvent. S’ils ont en fait [only a few dozen] employés, cela me surprendrait qu’ils aient plus d’une personne chargée de la sécurité. »
