Immer mehr Angriffe auf Software-Supply-Chains

13. August 2020, 08:33
  • security
  • open source
  • studie
  • insideit
image

Open-Source-Projekte werden immer häufiger als Malware-Schleudern und Backdoor-Lieferanten missbraucht, so eine Studie.

Weil die IT-Security-Teams immer besser auf klassische Zero-Day-Lücken bei "Legacy"-Systemen reagieren können, verlagern Kriminelle ihre Attacken immer mehr auf Software-Supply-Chains. Dies eine Kernaussage der sechsten Ausgabe des jährlichen "2020 State of the Software Supply Chain Report" von Sonatype.
Aktuell verzeichnen die Autoren rund 85 Attacken monatlich, beziehungsweise wurden 929 im Untersuchungszeitraum von der Firma gezählt, ein Anstieg um 430%. Es handle sich um "Next Generation"-Angriffe, die auf einzelne Komponenten von "Upstream"-Open-Source-Projekten abzielten, um die kompromittierten Projekte dann anzugreifen, wenn sie vielerorts im Einsatz seien.
Als aktuelles Beispiel gelten kann die OSS-Supply-Chain-Malware namens "Octopus Scanner". Nach einem User-Alert entdeckte das Security Incident Response Team (SIRT) von Github die Backdoor diesen Frühling in 26 Projekten. Dabei wurden NetBeans-Repositories auf GitHub als Übergabepunkt verwendet, um speziell NetBeans-Projekte zu infizieren, eine Java IDE. Experten nannten es gefährlich, dass Octopus andere JAR-Dateien im Projekt infizieren könne, so dass ein Entwickler schliesslich den mutierten Code verwende und an sein Team oder die OSS-Community verteile.
image
Ein anderes Beispiel betrifft Javascript-User. Mit der wachsenden Popularität von npm, Paketmanager für die JavaScript-Laufzeitumgebung Node.js, wachsen auch die Risiken, dass man sich Schadcode einhandelt. 40% der npm-Pakete enthalten Abhängigkeiten mit bekannten Schwachstellen, so der Report. Damit können verschiedenste Angriffe ausgeführt werden. Beispielsweise wird "Typosquatting" eingesetzt, bei dem ein Fehler beim Eintippen einer URL dazu führt, dass der User auf eine falsche, gefährliche Website geleitet wird.
Verschärft wird die Problematik durch den Einsatz von OSS von unterschiedlichen Autoren und unterschiedlicher Qualität. Die Verfasser der Studie schreiben, sie hätten 15'000 Entwickler-Teams für Unternehmenssoftware untersucht und hätten dabei 373'000 Downloads von Open-Source-Komponenten jährlich gezählt. Es gebe also durchschnittlich über 3500 Code-Lieferanten, und der Code sei von unterschiedlicher Güte.
Bei der Vermeidung oder der Schliessung von Schwachstellen ist bekanntlich der Zeitfaktor mitentscheidend. "Neue Open-Source-Zero-Day-Schwachstellen werden innerhalb von 3 Tagen nach der öffentlichen Bekanntgabe ausgenutzt", heisst es zu diesem Thema.

Tempo, Tempo!

Die besten Strategien gegen "Supply-Chain-Hacks" seien die rasche Entdeckung und Behebung von OSS-Schwachstellen und mehrmaliges Deployment pro Woche. "High Performers" sollten es schaffen, innert eines Tages bis maximal einer Woche die Genehmigung einer neuen OSS-Abhängigkeit für die Verwendung zu haben.
Wer hingegen mehr als eine Woche zum Schliessen einer OSS-Lücke braucht, und das sind laut dem Papier 51% der Unternehmen, muss sich als "Low Performer" titulieren lassen.
Das hohe Tempo ermögliche praktisch nur Automatisierung, schreibt die Firma Sonatype, die selbst ihr Geld als Spezialistin für Open-Source-Governance und Software-Supply-Chain-Automatisierung verdient. Aber auch die richtige Kultur und die richtigen Arbeitsabläufe seien erfolgsrelevant.
In eine ähnliche Richtung zielt der kürzlich publizierte, herstellerunabhängige Report "Breaking Trust: Shades of Crisis Across an Insecure Software Supply Chain". Mit diesem will der US-Think-Tank Atlantic Council aufzeigen, dass die Unsicherheit der Software-Lieferkette eine "Hauptquelle" für nationale Sicherheitsrisiken sowohl für öffentliche als auch für private Organisationen sei. Generell würden Software-Lieferketten immer unsicherer, schreiben die Autoren, die auch Empfehlungen an die Tech-Industrie und politische Entscheidungsträger abgeben.

Loading

Mehr zum Thema

image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 3
image

Palantir übernimmt 230-Millionen-Auftrag, um US-Drohnen effizienter zu machen

Der opake Datenanalyse-Konzern des rechtslibertären Milliardärs Peter Thiel gibt auch in Europa wieder zu Reden. CEO Alex Karp inszeniert sich als kritischer Geist.

publiziert am 30.9.2022
image

Podcast: Sollten noch Produkte von Huawei und Kaspersky eingesetzt werden?

Wir debattieren, was es für die Schweiz bedeutet, wenn Produkte von Firmen aus autoritären Ländern eingesetzt werden. Zudem gehen wir den Transparenzinitiativen von zum Beispiel Kaspersky und Huawei auf den Grund und fragen uns: Sind die Amerikaner eigentlich besser?

publiziert am 30.9.2022
image

Ransomware-Banden kaufen Erstzugänge extern ein

Für nur gerade 10 Dollar können sich Cyberkriminelle auf Darkweb-Flohmärkten Zugänge zu Systemen kaufen. Damit können sie dann Schlimmes anrichten.

publiziert am 29.9.2022 1