HACKING

Οι άγνωστοι κίνδυνοι του Software Supply Chain

This post was originally published on this site

Τα SCA όπως γνωρίζουμε, λύνουν το πρόβλημα των ευάλωτων σημείων. Τί συμβαίνει όμως, όταν αντιμετωπίζουμε επιθέσεις στο software supply chain;

Ας ξεκινήσουμε από την αρχή: Μια βιβλιοθήκη ανοιχτού κώδικα, εξοικονομεί πολύτιμο χρόνο κωδικοποίησης και εντοπισμού σφαλμάτων, με αποτέλεσμα να μειώνεται ο χρόνος παράδοσης των εφαρμογών μας.

Όταν μια εταιρεία προσθέτει μια βιβλιοθήκη ανοιχτού κώδικα, πιθανότατα δεν προσθέτει μόνο τη βιβλιοθήκη που σκόπευε, αλλά και πολλές άλλες επίσης. Αυτό οφείλεται στον τρόπο κατασκευής των βιβλιοθηκών ανοιχτού κώδικα: Όπως και κάθε άλλη εφαρμογή στον πλανήτη, ο στόχος τους είναι η γρήγορη παράδοση και ανάπτυξη. Για να το επιτύχουν αυτό, βασίζονται στον κώδικα που έχουν δημιουργήσει άλλοι – όπως π.χ. άλλες βιβλιοθήκες ανοιχτού κώδικα.

Δείτε επίσης: Veolia North America: Η εταιρεία ύδρευσης έπεσε θύμα ransomware

Οι πραγματικοί όροι μπορούν να χωριστούν σε δύο κατηγορίες: άμεση εξάρτηση και μεταβατική εξάρτηση. Η άμεση εξάρτηση αναφέρεται σε ένα πακέτο που προσθέτετε απευθείας στην εφαρμογή σας, ενώ η μεταβατική εξάρτηση αναφέρεται σε ένα πακέτο που προστίθεται σιωπηρά από τις εξαρτήσεις της εφαρμογής σας. Για παράδειγμα, αν η εφαρμογή σας χρησιμοποιεί το πακέτο Α, και το πακέτο Α χρησιμοποιεί το πακέτο Β, τότε η εφαρμογή σας εξαρτάται έμμεσα από το πακέτο Β.

Και αν το πακέτο Β είναι ευάλωτο, τότε το έργο σας είναι επίσης ευάλωτο. Αυτό το πρόβλημα έχει δημιουργήσει την ανάγκη για SCA – Πλατφόρμες Ανάλυσης Σύνθεσης Λογισμικού – οι οποίες μπορούν να βοηθήσουν στον εντοπισμό των ευάλωτων σημείων και στην προσφορά διορθώσεων.

Επιθέσεις VS. Ευπάθειες

Ο όρος άγνωστος κίνδυνος (unknown risk) μπορεί να μην είναι πάντα κατανοητός. Ένας άγνωστος κίνδυνος (unknown risk) λοιπόν, αποτελεί σχεδόν από μόνος του μια απειλή για το supply chain (αλυσίδα εφοδιασμού), η οποία δεν είναι εύκολα ανιχνεύσιμη από την πλατφόρμα SCA σας.

Ας εξετάσουμε τη διαφορά μεταξύ ευπαθειών και επιθέσεων:

Ευπάθεια:
  • Ένα ακούσιο λάθος (εκτός από πολύ συγκεκριμένες περίπλοκες επιθέσεις)
  • Αναγνωρίζεται από ένα CVE
  • Καταγράφεται σε δημόσιες βάσεις δεδομένων
  • Δυνατότητα άμυνας πριν από την εκμετάλλευση
  • Περιλαμβάνει τόσο τις συνηθισμένες ευπάθειες (vulns) όσο και τις ευπάθειες που ακόμα δεν έχουν ανακαλυφθεί (zero-day)

Παράδειγμα: Το Log4Shell είναι μια ευπάθεια

Διαβάστε περισσότερα: Τέλος στις επιθέσεις Ransomware μέσω Zero-Day ευπαθειών;

Software Supply Chain
Supply chain επίθεση:
  • Δεν διαθέτει συγκεκριμένη αναγνώριση CVE
  • Χωρίς παρακολούθηση από τυπικές SCA και δημόσιες βάσεις δεδομένων (DB)
  • Συνήθως επιχειρείται ήδη εκμετάλλευση ή ενεργοποίηση από προεπιλογή.

Παράδειγμα: Η SolarWinds είναι Supply chain επίθεση

Πηγή: thehackernews.com

https://www.secnews.gr/security/

%d bloggers like this: