Codecov Supply Chain Attacke kann Tausende treffen: Bericht

Cyber Security News

Experten haben Unternehmen aufgefordert, die Cyber-Risiken in ihren Lieferketten neu zu bewerten, nachdem bekannt wurde, dass bei Hunderten von Kunden einer Software-Audit-Firma ein illegaler Zugriff auf ihre Netzwerke erfolgte.

Ursprünglich dachte man, dass nur der Lieferant, das in San Francisco ansässige Unternehmen Codecov, betroffen war, doch nun geht man davon aus, dass es sich um einen vorsätzlichen Angriff auf die Lieferkette handelte, der in seiner Raffinesse mit der Operation bei SolarWinds vergleichbar ist.

Ermittler sagten Reuters, dass der Angriff bereits zu einem Zugriff auf die Netzwerke von Hunderten von Kunden geführt hat. Zu den rund 29.000 Kunden von Codecov gehören viele große Tech-Marken wie IBM, Google, GoDaddy und HP sowie Verlage (The Washington Post), Konsumgüterfirmen (Procter & Camp; Gamble) und viele mehr.

Das Unternehmen liefert Tools, mit denen Entwickler Einblick in die Ausführung von Quellcode während des Testens (Code Coverage) erhalten, um zuverlässigere und sicherere Produkte zu produzieren.

Ein Fehler in einem der Docker-Images des Unternehmens ermöglichte es jedoch einem Bedrohungsakteur, Anmeldeinformationen zu stehlen und ein kritisches Bash-Uploader-Skript zu modifizieren, das von Kunden verwendet wird.

Obwohl der Vorfall am 1. April entdeckt wurde, sagte Codecov, dass “periodische, unautorisierte Änderungen unseres Bash-Uploader-Skripts durch eine dritte Partei” seit dem 31. Januar aufgetreten waren.

Das Unternehmen sagte, dass dies den Angreifern Zugriff auf alle Anmeldetoken oder Schlüssel gab, die in den Continuous Integration (CI)-Umgebungen der Kunden gespeichert waren, und damit auf alle Dienste, Datenspeicher und App-Code, auf die über diese Anmeldedaten zugegriffen wurde.

Ein Ermittler sagte gegenüber Reuters, dass die Angreifer mit dieser Technik auf Tausende von eingeschränkten Netzwerken hätten zugreifen können, indem sie Tech-Unternehmen ins Visier genommen hätten.

Calvin Gan, Senior Manager bei der Tactical Defense Unit von F-Secure, forderte Unternehmen auf, Drittanbieter wie Codecov bei der Durchführung von Sicherheitsaudits als Teil ihrer Organisation zu behandeln und diese Audits regelmäßig durchzuführen – um sicherzustellen, dass alle Konfigurationen überprüft werden.

“Verstehen und wägen Sie immer das Risiko ab, das mit der Nutzung eines Drittanbieterdienstes wie Codecov verbunden ist. Während der angebotene Service wertvoll ist, ist es auch gut, zu überprüfen oder einzuschränken, was an diese Dienste gesendet wird, besonders wenn es Anmeldedaten oder sensible Informationen enthält”, fügte er hinzu.

“Das ist nicht einfach, vor allem wenn es sich um einen vom Unternehmen vertrauenswürdigen Dienst handelt. Aber das Risiko abzuwägen und früh genug einen Backup-/Reaktionsplan zu haben, würde sich als nützlich erweisen, wenn Verstöße wie dieser entdeckt werden.”

Stuart Reed, UK Director bei Orange Cyberdefense, argumentierte, dass sich die Sicherheitsbranche weniger auf die Details und mehr auf das Verständnis des größeren Ganzen konzentrieren sollte.

“Wir müssen erkennen, dass die Sicherheitslandschaft zutiefst fließend und dynamisch ist und sich schnell und kontinuierlich verändert, und wir müssen uns so positionieren, dass wir dies wahrnehmen und angemessen darauf reagieren können. Wir sollten uns nicht von der Identität des Angreifers oder den Spekulationen über staatlich unterstützte Gegner ablenken lassen”, sagte er.

“Ransomware-Angriffe, Botnets, Krypto-Miner und dergleichen folgen alle der gleichen ‘opportunistischen’ Philosophie, bei der kein Ziel zu klein oder unbedeutend ist. Deshalb ist eine neue Denkweise entscheidend, weg von naiven, regelbasierten Sicherheitspraktiken hin zu einem agilen, intelligenzbasierten Ansatz.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com