什么是软件供应链投毒?
所谓软件供应链投毒,指攻击者利用软件供应商与最终用户之间的信任关系,将恶意程序注入到受信任的应用或软件系统中,在系统开发、传播和升级的过程中进行劫持或篡改,从而达到非法攻击的目的。软件供应链投毒可分为:内部软件研发和人员安全、外部软件和开源组件引入。
软件供应链投毒是软件供应链攻击的典型方式,非常危险。因为软件供应链是黑客的放大器,意味着当一个供应商受到影响时,攻击者可以潜在地接触到他们的任何客户,这比他们攻击单个目标的影响范围更大。
攻击者会先攻击供应链中安全防护相对薄弱的企业,然后再利用供应链之间的相互连接(如软件供应、开源应用)等进行恶意传播和破坏。这凸显出软件供应链安全管理的重要性。
软件供应链投毒事件频发
近些年,针对软件供应链的“投毒”事件正愈演愈烈,并造成严重损失。
2022年12月-Linux内核ksmbd模块任意代码执行漏洞。Linux内核ksmbd模块中存在的CVSS评分为9.6分(满分10分)的漏洞(CVE-2022-47939),由于Linux内核在处理SMB2_TREE_DISCONNECT 命令时存在释放后重用漏洞,攻击者无需通过身份验证即可利用此漏洞远程执行任意代码。
2021 年 12 月,Apache Log4j2 远程代码执行漏洞(CVE-2021-44832)。在某些特殊场景下(如系统采用动态加载远程配置文件的场景等),有权修改日志配置文件的攻击者可以构建恶意配置,通过 JDBCAppender 引用 JNDI URI 数据源触发 JNDI 注入,成功利用此漏洞可以实现远程代码执行。攻击者仅需一段代码就可远程控制受害者服务器,危害巨大。
2021 年 8 月,Realtek WIFIi 模块 SDK 漏洞事件。台湾芯片设计厂商 Realtek 称,其 WiFi 模块的三款开发包 (SDK)中存在 4 个严重漏洞,攻击者可利用这些漏洞攻陷目标设备并以最高权限执行任意代码。SDK 用于至少 65 家厂商制造的近 200 款物联网设备中。
2021 年 7 月,REvail 勒索软件攻击事件。攻击者获得 Kaseya 公司后端设施访问权限,在运行于客户现场的安全事件响应工具 VSA 服务器上部署 REvil 勒索软件。通过 VSA 服务器将勒索软件安装到联网工作站,从而感染其它第三方企业网络。攻击发生前,互联网上处于联网状态的 VSA 服务器超过 2200 台。
2020年12月,SUNBURS后门首次被披露,该攻击利用流行的 SolarWinds IT监控和管理套件传播木马。事件已确认受害的重要机构至少200家,波及北美、欧洲等全球重要的敏感机构,包括美国国务院、国防部、财政部、国土安全部等。
软件供应链安全管理痛点
有效的软件供应链安全管理是防范此类投毒事件的最佳方案,当前软件供应链安全管理普遍存在不足。
- “理不清”:企业缺少软件资产台账,无法掌握目前系统中使用的第三方软件和组件情况,以及对现有系统、框架、组件、漏洞的依赖关系。
- “看不见”:无法明确开源组件中许可协议的范围、要求以及权益,应用系统使用的开源组件存在很对许可违规情况,导致应用上线后容易出现知识产权纠纷问题。
- “响应慢”:当爆发0day漏洞时,无法对受影响的组件、系统进行快速有效的定位。
- “治理难”:缺乏软件供应链安全治理相关知识、技能和工具,导致对风险的治理效率低下。
软件供应链安全治理体系
目前业界主要通过由集成相关工具的平台来管理软件供应链安全,如果平台主要提供检测能力,对于应对软件供应链安全管理显然是不够的。
清科万道软件供应链安全管理平台以软件接入到信息系统事前、事中、事后为管理阶段,基于各阶段管理目标,建立相应的能力。
事前工作:根据开源技术相关法律和许可要求,协助建立开源入库标准;对私库存量开源技术建立事前技术评估和安全评估;对新增入库开源技术进行严格检测及审核;协助建立开源技术应用管理制度体系。
事中处理:建立覆盖开源软件使用全周期的安全管理;根据软件成分分析结果建立开源软件应用台账;对开发中项目建立自动化实时监控机制,包括自主开发的源代码、WEB、APP、开源软件等。
事后监测:对漏洞库信息提供多种方式的实时更新管理;建立灵活的开源组件合规及安全检查机制;提供应急响应机制,实现对新增漏洞的追溯。
