ATAQUES CIBERNÉTICOS  VIA INTERIOR DE PROGRAMAS

Ataques upstream no ecossistema de código aberto aumentam 400% à medida que os criminosos procuram comprometer os aplicativos em escala

Uma nova pesquisa rastreia o aumento de quatro vezes nos ataques que semeiam o ecossistema de código aberto com componentes maliciosos

Houve um aumento dramático de ataques cibernéticos em que componentes maliciosos são plantados em bibliotecas de código aberto, revela um novo relatório.

O sexto relatório anual do Estado da Cadeia de Suprimentos de Software da Sonatype registrou um aumento de 430% nesses ataques de "próxima geração", que semeiam de forma proativa o ecossistema de código aberto com vulnerabilidades, em vez de aproveitar as falhas de dia zero previamente divulgadas.

Cerca de 929 desses ataques foram registrados no ano de 2020, em comparação com apenas 216 em mais de quatro anos entre fevereiro de 2015 e junho de 2019.

Infiltrando-se no ecossistema

Pretendendo ser desenvolvedores de software regulares, os atacantes da cadeia de suprimentos de código aberto postam componentes supostamente úteis que contêm código malicioso em repositórios de código aberto "upstream".

Esses backdoors então fluem "downstream" para as compilações de software usadas por inúmeras organizações.

Ao contrário dos ataques tradicionais, onde os invasores correm para escrever e implantar código de exploração mais rápido do que as equipes de segurança podem aplicar os patches relevantes, os cibercriminosos podem começar a explorar secretamente sistemas vulneráveis ??antes que as ameaças sejam detectadas, quanto mais corrigidas.

O Daily Swig relatou um desses ataques em junho, onde o Octopus Scanner, um backdoor do NetBeans, comprometeu os processos de construção de 26 projetos de código aberto.

E em abril, os pesquisadores de segurança da Reversing Labs descobriram que os typosquatters semearam um repositório RubyGems com um pacote malicioso com um nome que se assemelhava muito a um componente legítimo.

O fato de os invasores estarem criando suas próprias oportunidades para explorar compilações de código aberto ?não deve ser surpresa?, disse o CEO da Sonatype, Wayne Jackson.

?Após a notória violação da Equifax em 2017, as empresas aumentaram significativamente os investimentos para evitar ataques semelhantes às cadeias de suprimentos de software de código aberto?, explica ele.

?Nossa pesquisa mostra que as equipes de engenharia comercial estão ficando mais rápidas em sua capacidade de responder a novas vulnerabilidades de dia zero.?

Segurança da cadeia de suprimentos

Os ataques à cadeia de suprimentos de software permitem que os criminosos comprometam os aplicativos em grande escala

Corrida para remediar

Cerca de 14% das organizações pesquisadas pela Sonatype, uma especialista em automação de DevOps, normalmente corrigiram vulnerabilidades de segurança 24 horas após tomarem conhecimento delas.

Outros 35% corrigiram as falhas entre um dia e uma semana após a descoberta.

No entanto, com o tempo médio desde a divulgação da vulnerabilidade até a violação ativa caindo de 45 para três dias entre 2008-2018, muitas organizações ainda são muito lentas para remediar.

Cerca de um em cada dois entrevistados só tomou conhecimento de novas vulnerabilidades de código aberto uma semana após a detecção (47%). 

Em seguida, 17% dos entrevistados levaram de 1 a 6 meses para aplicar os patches, enquanto 3% das organizações demoraram ainda mais.

As consequências de uma resposta tão lenta foram claramente ilustradas em maio, quando 21 empresas foram comprometidas durante o abuso ativo de falhas na plataforma de automação da infraestrutura SaltStack poucos dias após sua divulgação pública

Superfície de ataque 

A superfície de ataque de código aberto está crescendo.

Com base nas tendências atuais, Sonaytpe espera ver cerca de 1,5 trilhão de solicitações de download de componentes nos proximos anos, entre todos os principais ecossistemas de código aberto, ante 10 bilhões em 2012.

O número de pacotes npm está atualmente em cerca de 1,3 milhão, um salto de 63% ano a ano, com 40% contendo dependências com vulnerabilidades conhecidas.

Cerca de 11% dos componentes de código aberto integrados aos aplicativos contêm vulnerabilidades conhecidas, com 38 vulnerabilidades conhecidas descobertas em média por aplicativo.

O mito da compensação velocidade-segurança

Com base em uma pesquisa avaliando as políticas, práticas e ferramentas usadas por desenvolvedores em uma variedade de setores, a Sonatype agrupou as organizações em quatro categorias com base em seus padrões de produtividade e gerenciamento de risco.

As equipes mais eficazes em ambos os barômetros implantaram alterações de código 15 vezes mais frequentemente e foram 26 vezes mais rápidas na detecção e correção de vulnerabilidades de código aberto do que suas contrapartes em organizações que eram menos produtivas, menos eficazes na mitigação de riscos ou ambos.

?Foi muito empolgante encontrar tantas evidências de que esse trade-off tão discutido entre segurança e produtividade é realmente uma falsa dicotomia?, disse o Dr. Stephen Magill, cientista principal da Galois e CEO da MuseDev.