バグハンターのアレックス・バーサン氏は昨年、JavaScript、Python、Ruby 開発者が使用するパッケージングメカニズムを悪用して、35 社のソフトウェア サプライ チェーンを侵害することに成功しました。
火曜日に投稿された記事で、ビルサン氏は、開発者がアプリケーションに機能を追加するソフトウェアライブラリをインストールするために使用するnpmレジストリ、PyPI(Python Package Index)、およびRubyGemsを通じて、概念実証用の悪意のあるコードを配布した方法を詳しく説明した。
パブリック レジストリからサードパーティのソフトウェア ライブラリを統合するには、ソフトウェア パッケージを作成してアップロードする人々に対する高い信頼が必要ですが、この信頼は、タイポスクワッティングやライブラリ管理者のアカウントの侵害などの手法によって頻繁に悪用されてきました。
これらのパッケージ システムは公開されており、どの開発者でもコードに特定のパッケージ名を追加し、それらのライブラリをリモート リポジトリから、モジュールを含むアプリが実行される環境にロードできます。
しかし、それらはまた、プライベートな依存関係(一般には公開されず、組織内で内部的に使用されるコード ライブラリ)も許可します。
ビルサン氏は、企業内で使用されているプライベート パッケージの名前を特定し、それらのライブラリ名を使用して悪意のあるパッケージを作成し、パブリック パッケージ レジストリ (利用可能なソフトウェア モジュールを追跡するインデックス) に配置できるかどうかを調べ始めました。
プライベート パッケージの名前は、特に Node.js/JavaScript エコシステムでは見つけるのがかなり簡単であることがわかりました。これは、プライベートの package.json ファイルがパブリック ソフトウェア リポジトリに頻繁に表示されるためです。
そこでビランは、企業のファイアウォールをすり抜けてシステム構成データを盗み出すために、同じ名前のライブラリを作成した。彼の窃取手法は、情報を16進数でエンコードし、自身が管理するカスタムDNSサーバーへのDNSクエリの一部に組み込むというものだった。
コーディングストリームを汚染する
その後の課題は、プライベート ライブラリを必要とするアプリケーションが、汚染されたパブリック ソース内でそれらのファイル名を検索するようにすることになりました。
実際のところ、企業のソフトウェア開発者は、アプリケーションにハイブリッド構成、つまりプライベートな内部パッケージを参照するだけでなく、パッケージが最新であることを保証するためにパブリック レジストリからの依存関係の取得もサポートする構成を採用するのが一般的です。
研究者らが、権限の低いユーザーがコードなどを実行できる欠陥を発見したことを受け、SolarWinds Orionにさらなるパッチがリリースされた。
続きを読む
「社内開発者はパッケージをこのプライベートフィードに公開し、利用者はプライベートフィードとパブリックフィードの両方をチェックして、必要なパッケージの入手可能な最良のバージョンを探します」と、マイクロソフトはビルサン氏の情報開示に合わせて公開された論文で説明している。「この構成は、サプライチェーンのリスク、すなわち代替攻撃をもたらします。」
置換攻撃(アプリに依存関係を検索させ、企業が管理するソースではなく、セキュリティが不十分な公開ソースから同一の名前を持つ悪意のあるバージョンを取得させる)は、結局、Birsan にとってかなり効果的でした。
「開発者が自分のマシンで起こした一度きりのミスから、内部またはクラウドベースのビルドサーバーの設定ミス、システム的に脆弱な開発パイプラインに至るまで、1つ明らかなことは、有効な内部パッケージ名をスクワッティングすることが、大手テクノロジー企業のネットワークに侵入し、リモートコード実行を獲得し、攻撃者がビルド中にバックドアを追加することを可能にする、ほぼ確実な方法であるということです」と彼は述べた。
ビルサン氏がこの手法を用いて攻撃に成功した企業には、Apple、Microsoft、Netflix、PayPal、Shopify、Tesla、Uber、Yelpなどが含まれます。そして、その功績により、彼はこれらの企業を対象としたバグ報奨金プログラムから少なくとも13万ドルの賞金を獲得しました。
Birsanによるこのような攻撃の成功は、警鐘を鳴らすべき事態です。ソフトウェアサプライチェーン攻撃は、下流の多くの被害者に影響を及ぼす可能性があるため、他の多くの脅威シナリオよりも高いリスクを伴います。近年の最も重大なソフトウェアセキュリティインシデントの一つであるSolarWindsビルドシステムの侵害は、サプライチェーン攻撃によるものであったことを思い出してください。
ビルサン氏の悪質な概念実証ファイルはセキュリティ企業ソナタイプの自動検出システムによって検出されたが、同社は同氏と協議し、情報開示のタイムラインについて話し合った後、実験を進めることを許可した。
数年前、オープンソース・エコシステムにおける適切な名前空間管理の欠如についてCTOが懸念を表明したSonatypeは昨日、企業が自社のパッケージ名がパブリック・パッケージ・レジストリに登録されているかどうかを確認するためのスクリプトをリリースしました。同社によると、上流のソフトウェア・サプライチェーン攻撃は430%増加しています。®
