Wiosną tego roku światło dzienne ujrzał potencjalnie jeden z najpoważniejszych ataków typu “Supply Chain”. Biblioteka „xz utils”, powszechnie używana w wielu dystrybucjach systemu operacyjnego Linux, została zainfekowana złośliwym oprogramowaniem „backdoor”, które umożliwiało atakującym przejęcia kontroli nad systemem na uprawnieniach administratora.
 
Początek planowania całego ataku miał miejsce kilka lat temu. W 2021 roku utworzone zostało konto GitHub, którego użytkownik rozpoczął staranie o uzyskanie statusu „maintainera” (osoby utrzymującej repozytorium kodu) dla biblioteki „xz Libs”. Zmęczenie oraz wypalenie innych osób odpowiedzialnych za repozytorium doprowadziło do sytuacji, w której atakujący został jedynym aktywnie utrzymującym kod użytkownikiem. Pozwoliło to na bezproblemowe umieszczenie złośliwego oprogramowania w kodzie źródłowym.
 
Ze względu na brak weryfikacji kodu przez innych „maintainerów”, biblioteka w nowej (zainfekowanej) wersji mogła być zaimportowana w aktualizacjach popularnych dystrybucji systemów operacyjnych Linux.
 
Gdyby nie odkrycie backdoor przez innych użytkowników biblioteki, atak ten byłby największym tego typu i dotyczyłby milionów serwerów na całym świecie!
 
Powyższy przykład pokazuje, jak ważne jest badanie zależności od bibliotek trzecich przy tworzeniu oprogramowania. Ataki typu „Supply Chain” są ciężkie do wykrycia – ukryte są w kodzie źródłowym zależności danej aplikacji i często developer nie ma świadomości o istniejących podatnościach.
 
Z pomocą może przyjść narzędzie od firmy Fortinet – FortiDevSec.
 
FortiDevSec to rozwiązanie SaaS, które pozwala na ciągłe (continuous) testowanie bezpieczeństwa aplikacji. Pozwala developerom na wykrycie oraz załatanie podatności w takich komponentach jak:
·         kodzie źródłowym aplikacji,
·         bibliotekach 3rd party,
·         obrazach kontenerów (secrets),
·         szablonach IaC,
·         URL’ach stron webowych.
 
Całość integruje się z cyklem życia DevOps (CI/CD) i umożliwia pełną ochronę przed podatnością Supply Chain Attack.
 
Więcej szczegółów znajduje się w dokumentacji Fortinet:
https://www.fortinet.com/products/fortidevsec