Immer mehr Angriffe auf Software-Supply-Chains

13. August 2020, 08:33
  • security
  • open source
  • studie
  • insideit
image

Open-Source-Projekte werden immer häufiger als Malware-Schleudern und Backdoor-Lieferanten missbraucht, so eine Studie.

Weil die IT-Security-Teams immer besser auf klassische Zero-Day-Lücken bei "Legacy"-Systemen reagieren können, verlagern Kriminelle ihre Attacken immer mehr auf Software-Supply-Chains. Dies eine Kernaussage der sechsten Ausgabe des jährlichen "2020 State of the Software Supply Chain Report" von Sonatype.
Aktuell verzeichnen die Autoren rund 85 Attacken monatlich, beziehungsweise wurden 929 im Untersuchungszeitraum von der Firma gezählt, ein Anstieg um 430%. Es handle sich um "Next Generation"-Angriffe, die auf einzelne Komponenten von "Upstream"-Open-Source-Projekten abzielten, um die kompromittierten Projekte dann anzugreifen, wenn sie vielerorts im Einsatz seien.
Als aktuelles Beispiel gelten kann die OSS-Supply-Chain-Malware namens "Octopus Scanner". Nach einem User-Alert entdeckte das Security Incident Response Team (SIRT) von Github die Backdoor diesen Frühling in 26 Projekten. Dabei wurden NetBeans-Repositories auf GitHub als Übergabepunkt verwendet, um speziell NetBeans-Projekte zu infizieren, eine Java IDE. Experten nannten es gefährlich, dass Octopus andere JAR-Dateien im Projekt infizieren könne, so dass ein Entwickler schliesslich den mutierten Code verwende und an sein Team oder die OSS-Community verteile.
image
Ein anderes Beispiel betrifft Javascript-User. Mit der wachsenden Popularität von npm, Paketmanager für die JavaScript-Laufzeitumgebung Node.js, wachsen auch die Risiken, dass man sich Schadcode einhandelt. 40% der npm-Pakete enthalten Abhängigkeiten mit bekannten Schwachstellen, so der Report. Damit können verschiedenste Angriffe ausgeführt werden. Beispielsweise wird "Typosquatting" eingesetzt, bei dem ein Fehler beim Eintippen einer URL dazu führt, dass der User auf eine falsche, gefährliche Website geleitet wird.
Verschärft wird die Problematik durch den Einsatz von OSS von unterschiedlichen Autoren und unterschiedlicher Qualität. Die Verfasser der Studie schreiben, sie hätten 15'000 Entwickler-Teams für Unternehmenssoftware untersucht und hätten dabei 373'000 Downloads von Open-Source-Komponenten jährlich gezählt. Es gebe also durchschnittlich über 3500 Code-Lieferanten, und der Code sei von unterschiedlicher Güte.
Bei der Vermeidung oder der Schliessung von Schwachstellen ist bekanntlich der Zeitfaktor mitentscheidend. "Neue Open-Source-Zero-Day-Schwachstellen werden innerhalb von 3 Tagen nach der öffentlichen Bekanntgabe ausgenutzt", heisst es zu diesem Thema.

Tempo, Tempo!

Die besten Strategien gegen "Supply-Chain-Hacks" seien die rasche Entdeckung und Behebung von OSS-Schwachstellen und mehrmaliges Deployment pro Woche. "High Performers" sollten es schaffen, innert eines Tages bis maximal einer Woche die Genehmigung einer neuen OSS-Abhängigkeit für die Verwendung zu haben.
Wer hingegen mehr als eine Woche zum Schliessen einer OSS-Lücke braucht, und das sind laut dem Papier 51% der Unternehmen, muss sich als "Low Performer" titulieren lassen.
Das hohe Tempo ermögliche praktisch nur Automatisierung, schreibt die Firma Sonatype, die selbst ihr Geld als Spezialistin für Open-Source-Governance und Software-Supply-Chain-Automatisierung verdient. Aber auch die richtige Kultur und die richtigen Arbeitsabläufe seien erfolgsrelevant.
In eine ähnliche Richtung zielt der kürzlich publizierte, herstellerunabhängige Report "Breaking Trust: Shades of Crisis Across an Insecure Software Supply Chain". Mit diesem will der US-Think-Tank Atlantic Council aufzeigen, dass die Unsicherheit der Software-Lieferkette eine "Hauptquelle" für nationale Sicherheitsrisiken sowohl für öffentliche als auch für private Organisationen sei. Generell würden Software-Lieferketten immer unsicherer, schreiben die Autoren, die auch Empfehlungen an die Tech-Industrie und politische Entscheidungsträger abgeben.

Loading

Mehr zum Thema

image

IT-Fachkräftemangel: Wie Wachstum dennoch gelingt

Der Fachkräftemangel ist akuter denn je, besonders in der IT und Cyber Security. Gleichzeitig steigt die Nachfrage nach entsprechenden Services kontinuierlich. Wie gelingt der Spagat zwischen Wachstum und dem «War of Talents»? Rita Kaspar, Head of HR bei InfoGuard AG, gibt Auskunft.

image

Luzerner können Wille zur Organspende in App hinterlegen

Patientinnen und Patienten des Luzerner Kantonsspitals können ihre Entscheidung zur Organspende neu in der Patienten-App ablegen.

publiziert am 26.1.2023
image

Cyberkrimineller erbeutet Meldedaten fast aller Österreicher

Ein Fauxpas bei einem Wiener IT-Unternehmen machte einen grossen Datendiebstahl möglich. Die Spuren führen in die Niederlande.

publiziert am 26.1.2023
image

Datenleck bei der Fremdsprach-App Duolingo?

In einem Forum werden die Daten von 2,6 Millionen Accounts zum Verkauf angeboten. Doch das Unternehmen bestreitet eine Sicherheitsverletzung.

publiziert am 25.1.2023