Still Dependency Confusion. Defending Against Software Supply Chain Attacks

На тему атаки Dependency Confusion продолжают выходить статьи и инструменты.

В частности ребята из Salesforce выпустили инструмент DazedAndConfused для проверки Cocoapods, composer, gems, gradle и не только.

Вышла даже статья по реализации атаки в Game Development на Unity (потому что NPM). На тему устранения уязвимости в NPM вот. Если вы используете Bundler для работы с зависимостями в Ruby, то для вас также есть статья.

На тему Supply Chain последнее время пишут достаточно часто. В частности CISA выпустила методичку "Defending Against Software Supply Chain Attacks" по защите от атак на цепочку поставок. В ней есть упоминание множества полезных практик NIST - NIST SP 800-161 (April 2015), NISTIR 8276 (February 2021), SSDF (April, 2020)

#dev #sca #attack

Nuclei and DevSecOps

Если вы сидите в чатиках, посвященных пентестам / уязвимостям веба, то наверняка могли слышать про инструмент Nuclei. Nuclei позиционируется как быстрый сканер уязвимостей в вебе, в котором можно определять шаблоны отправки запросов на базе yaml. Похожий подход используется, как мы знаем, современными SAST (Checkmarx, CodeQL, semgrep). Также, как и в CodeQL, предполагается, что эти же заполненные шаблоны могут быть переданы исследователями безопасности в рамках Bug Bounty. В дальнейшем Nuclei вместе со всеми шаблонами встраивается в CI/CD. У инструмента также есть отдельное репо с готовыми шаблонами на разные случаи жизни (от фаззинга до IoT).

Прилагаю также дополнительный полезный материал на тему Nuclei:

- Exploiting Race conditions with Nuclei

- How to Scan Continuously with Nuclei?

- Nuclei - Fuzz all the things

#dev #ops #attack #dast

Jenkins attack framework

Инструмент для тестирования безопасности Jenkins от Accenture - jenkins-attack-framework. Инструмент работет как white box и требует URL сервера и агента, username, password или API-токен. Среди атак попытка просмотра и запуска джоб и скриптов, дамп кредов, загрузка файлов.

Есть также сопровождающая статья:
- Red teaming Jenkins with the Jenkins Attack Framework

#dev #ops #attack

Infrastructure-as-code security tool compare

Сравнение инструментов для анализа конфигурационных файлов IaC: Checkov, Indeni Cloudrail, Kics, Snyk, Terrascan, Tfsec. В качестве тестовой выборки был взят Terraform для AWS. Каждый test-case можно увидеть в репо. Полезно также будет для понимания типовых ошибок.

#terraform #iac #sast #dev #ops

Detecting Malicious Activity in CI/CD Pipeline with Tracee and Codecov story.

Aqua Security показали один из примеров, как можно использовать относительно новый инструмент Tracee. Напоминаю, что Tracee - это утилита, которая помогает собирать информацию об активности приложения, которое развернуто на сервере с Tracee, в режиме runtime на основе технологии eBPF (по аналогии с тем, как работают движки Container Runtime в современных средствах защиты класса CSP).

Так вот Аква предлагает запускать Tracee в CI/CD, анализируя аномальную активность собираемых и разворачиваемых приложений. При этом у Tracee появился встроенный набор сигнатур.

Сам автор поста заявляет, что данный механизм защиты может помочь предотвратить индицент аналогичный тому, что произошел с Codecov в апреле 2021 года, когда злоумышленники подменили скрипт Bash Uploader, используемый в Codecov-actions для Github, Codecov CircleCl Orb и Codecov Bitrise Step. Злоумышленнику удалось воспользоваться ошибкой в используемом Codecov процессе создания образа Docker, позволившей ему извлечь учетные данные, необходимые для внесения изменений в скрипт Bash Uploader (наглядный пример supply chain атаки).

Ненавистники сигнатур занегодуют, но стоит признать, что сам по себе подход имеет право на существование.

Помимо анализа работы ПО, используемого в CI/CD на наличие аномалий, важно не забывать про механизмы защиты самого процесса CI/CD: MFA, хранение секретов, изоляция окружений, сетевая безопасность и многое другое. Этой теме в будущем будут посвящены отдельные посты.

#attack #dev #ops

Terraform Plan “RCE”

Небольшая статья о реализации "Remote Code Execution" (RCE) злоумышленником при работе с terraform plan. Это особенно актуально, если вы проверяет таким образом PR перед merge в прод бранч.

Стало любопытно то, что terraform plan на первый взгляд кажется довольно безобидным. Сама документация сообщает о том, что "команду можно использовать для проверки, соответствуют ли предлагаемые изменения ожидаемым, прежде чем применять изменения".

В статье есть раздел по митигации риска.

#terraform #attack #dev #ops

On Establishing a Cloud Security Program

Marco Lancini, автор блога CloudSecDocs, выпустил страницу, на которой собрал все активности, относящиеся к построению полноценной программы безопасности в современной облачной среде - A Cloud Security Roadmap Template. Про этот проект Marco написал также поясняющую статью.

Основная цель - аккумулировать все существующие активности, которые будут разделены на домены (Архитектура, Политики и стандарты, Цепочка поставок, Мониторинг и так далее), уровни зрелости, способы реализации и еще несколько атрибутов. Многие активности имеют связь с пунктами Cloud Controls Matrix v4.

Будет полезно также для тех, кто поддерживает self-hosted k8s, так как многие активности относятся к образам, контейнейрам, архитектуре кластера и CI/CD.

#dev #ops

Revealing the secrets of Kubernetes secrets

Небольшая статья в блоге CNCF, посвященная секретам в Kubernetes.

"Can you keep a secret? Hope so, because in this blog, I reveal the secrets of Kubernetes secrets."

В частности рассматривается использование секретов через:
- Secret resources
- kubelet
- Pods
- Kubernetes API
- etcd

Для каждого из применений расписаны некоторые риски, которые стоит учесть. В том числе есть упоминание некоторых мер защиты. Например, механизма sealed-secrets, который позволяет скрыть секреты из JSON и YAML при их хранении в git. Или плагина Helm SOPS от Mozilla для безопасной работы с секретами в Helm.

#k8s #ops #secret

Security Gym - Secure Software Development Training Platform

Security Gym - открытая open-source платформа Яндекса для проведения тренингов разработчиков безопасному программированию. Есть Python, Javascript, Golang. Поднимаются как баги OWASP, так и меры по исправлению уязвимостей. Поиграться без развертывания можно здесь.

#dev

AI security risk assessment

История с AI/ML Ops стремительно набирает обороты в ИТ-комьюнити. Мы же сегодня начнем эту неделю с AI Security.

Microsoft выпустила статью "AI security risk assessment using Counterfit", в которой представила свой новый открытый инструмент Counterfit для оценки ML-систем на безопасность. Безопасность ML - на сегодняшний день супер-молодая ниша. Организация MITRE только полгода назад представила матрицу угроз "Adversarial ML Threat Matrix", которая пока еще не успела стать частью ATT&CK matrix.

Microsoft также рассказала про bug bar, где собираются различные атаки на ML-системы и набор вопросов, которые стоит задать для моделирования угроз ML. В статье также упоминаются другие инструменты безопасности: Adversarial Robustness Toolbox and TextAttack.

#ml

DevSecOps Series: Shifting Security Left

"Running a DevSecOps program as well as what some of the (hard) lessons I learned through the years."

Давно в этом канале не было статей из разряда "классика" - как должен выглядеть процесс DevSecOps, из чего он состоит и кто в этом должен участвовать - "DevSecOps Series: Shifting Security Left".

#dev #ops

Attacking Kubernetes Clusters Through Your Network Plumbing: Part 2

Вторая часть от CyberARK по атакам на сети Kubernetes (первая здесь). В этот раз речь пойдет об изменении маршрутизации (в частности BGP), что приводит к скрытой MiTM-атаке.

#attack #ops #k8s

Cigna/confectionery

Confectionery - набор правил Conftest для поиска мисконфигураций Terraform (AWS, Azure). Хочу отметить удобное разделение правила по доменам, например, EKS, EC2, KMS и так далее.

Кстати, внимательные читатели заметили, что в последнем сравнении инструментов сканирования Terraform, которое я публиковал, вышла новая версия, из-за чего сильно изменился баланс сил :) Там, кстати, нет Conftest, так как инструмент не предполагает встроенный набор правил.

#terraform #aws #azure #dev #ops

Ensure Content Trust on Kubernetes using Notary and Open Policy Agent

Реализация проверки подписи образа через OPA при деплое в Kubernetes с помощью интеграции с Notary-сервисом.

В рамках CI сборки формируется подпись к образу с помощью Notary сервиса. При формировании подписи, ее значение сохраняется в БД. Каждый раз, когда происходит попытка деплоя нового ворклоада, OPA с помощью ValidatingAdmissionWebhook проверяет наличие подписи (digest) к образу и идёт с ним в Notary, чтобы убедиться, что подпись была сформирована именно им. В случае, если образ был подменен злоумышленником или изменен за пределами security-проверок в CI, образ развернут быть не сможет.

Так как работа происходит с OPA, в данной схеме есть возможность применить и MutatingAdmissionWebhook. Например, прикреплять digest, если он отсутствует, но подпись для данного образа уже была сформирована и хранится в Notary.

Про альтернативные способы формирования Content Trust я писал ранее.

#opa #k8s #dev #ops

Hack Series: Is your Ansible Package Configuration Secure?

Хорошая статья, которая раскрывает аспекты безопасности Ansible: несколько простых рекомендаций и разбор уязвимости CVE-2020-14365, которая позволяет реализовать атаку через supply chain.

Основная проблема кроется в том, что ansible старых версий использует dnf-модуль, который позволяет скачивать внешние пакеты без проверки их целостности и организации безопасного соединения через HTTPS. Проблема актуальна и для новых версиях в тех случаях, когда используется force: true.

#ops #attack

Mobsfscan - SAST for Android and iOS source code

mobsfscan - отдельный проект от MobSF, который направлен на поиск уязвимостей в исходном коде мобильных приложений (Java, Kotlin, Swift, Objective C). По факту это обертка вокруг правил semgrep и libsast, но результат может быть весьма полезным.

#mobile #sast #dev

Introducing the Open Source Insights Project

Google продолжают радовать своими открытыми продуктами, посвященными безопасности open-source. На этот раз они выпустили Open Source Insights Project. С самим сервисом можно поиграть здесь. Он позволяет анализировать сторонние зависимости для указанного компонента с помощью интерактивного графа, а если открыть описание компонента, то можно увидеть историю релизов и перечень тестов от OpenSSF Scorecards (было ли сканирование SAST для компонента, fuzzing, давно ли были релизы и так далее)

Другие интересные проекты от Google:
- Cosign
- Open Source Vulnerabilities (OSV)

Обсуждать можно в нашем чате: @sec_devops_chat

#sca #dev

Как топ-менеджеру относиться к ИБ-рискам, кроме подхода "либо случится, либо нет"?

На выходных наткнулся в FB на статью 2020 года от VP InfoWatch, которая затрагивает тему, как относится современный бизнес к информационной безопасности и по какому пути в безопасности развиваться не надо.

Основная идея состоит в том, что безопасность является ничем иным как очередным сервисом, а все риски, которыми безопасники привыкли пугать, вероятностны, при этом расходы абсолютны. Соответственно, убедить бизнес не принимать риски становится непростой задачей, однако гораздо чаще специалисты ИБ уходят в "технические игрушки", не вникая в суть и цели бизнеса, а также критерии его успешности.

Завершает статью правильная цитата, которую стоит записать всем, кто склонен топить ИТ жесткими требованиями ИБ:

"Переломить эту тенденцию может только инфобезопасник 2.0, который хорошо понимает объект защиты и принципы его функционирования, а не только методы и приёмы безопасности."

Очень рекомендую, если вы работаете на этой неделе и еще не успели морально выйти из выходных.

Обсудить можно в нашем чате: @sec_devops_chat

#talks

Siloscape: First Known Malware Targeting Windows Containers to Compromise Cloud Environments

Разбор от Unit 42 (отдел исследований Palo Alto) вредоносного ПО Siloscape, которое использует Windows контейнеры для выходы за их пределы и эксплуатации мисконфигурации Kubernetes. Все это сопровождается коннектом до внешних C2-серверов через Tor-прокси. Инициализация вредоносного ПО предполагается через RCE веб-сервера.

Кстати, это не первая статья автора, которая посвящена безопасности Windows-контейнеров:
- Windows Server Containers Are Open, and Here's How You Can Break Out
- What I Learned from Reverse Engineering Windows Containers

Важно отметить, что Windows-контейнеры используют те же привилегии, что и хост, из-за чего не должны использоваться в качестве security boundary. Вместо этого рекомендуется использовать Hyper-V containers.

Обсудить можно здесь: @sec_devops_chat

#ops #attack #k8s

Introducing SLSA, an End-to-End Framework for Supply Chain Integrity

Под конец рабочей недели еще один пост с материалами от Google. Компания представила фреймворк SLSA (Supply-chain Levels for Software Artifacts), в котором обобщён имеющийся опыт по защите инфраструктуры разработки от атак, осуществляемых на стадии написания кода, тестирования, сборки и распространения продукта. Фреймворк учитывает 8 видов атак, связанных с угрозами внесения вредоносных изменений на стадиях, указанных выше. Каждая атака описана существующим примером. Оригинал можно прочитать здесь.

#dev #ops