Sommes-nous prêts pour les mises à jour malveillantes de masse ?

Examen rapproché des vecteurs d'attaque par logiciel

Il est clair que les États-nations et les groupes de pirates informatiques continueront à cibler les fournisseurs de la chaîne logistique dans de nombreux secteurs. J'ai déjà écrit sur la façon dont la « dette technique » peut rendre les entreprises vulnérables. C'est là un aspect des choses. Mais comment et où les acteurs nocifs lancent-ils de nouvelles attaques ? Quels autres vecteurs d'attaque pourraient être exploités ?

Alors que des attaques comme Sunburst, ou les attaques par ransomware perpétrées par le groupe REvil, notamment contre Kaseya, continuent d'attirer l'attention du grand public, un piratage moins médiatisé en 2021 a retenu mon attention : les quatre vulnérabilités OMIGOD qui affectent l'agent logiciel Open Management Infrastructure (OMI) sur les machines Azure Linux.

Les projets de logiciels libres continuent de croître de manière exponentielle. La sécurité des logiciels open source s'est considérablement améliorée au cours des 10 dernières années, et il ne fait aucun doute que les vulnérabilités des logiciels open source sont corrigées à un rythme beaucoup plus rapide. Ça, c'est la bonne nouvelle. Mais il est également vrai que les attaques sur la chaîne logistique via open source augmentent à un rythme alarmant. Dans son rapport 2021 sur l'état de la chaîne logistique « State of the Software Supply Chain », Sonatype estime à 12 000 le nombre d'attaques contre des projets open source, soit une augmentation de 650 % d'une année sur l'autre.

 

La priorité concurrentielle accordée à l'innovation, et la contrainte impitoyable d'une mise sur le marché aussi rapide que possible, incitent les entreprises, grandes et petites, à adopter des projets open source. Les agences gouvernementales et les entreprises du secteur privé ressentent la pression causée par le besoin d'innovation et de déploiement de projets logiciels à un rythme toujours plus soutenu. Mais l'adage « A force de vouloir aller trop vite, on se prend un mur » est assorti d'un coût élevé, notamment du point de vue de la cybersécurité.

Il est donc impératif que chacun d'entre nous, dans les secteurs public et privé, donne la priorité à la sécurisation de chacun de nos projets de logiciels libres. L'exploitation de l'open source est en partie une question d'innovation et de délai de commercialisation. Mais les entreprises doivent faire preuve de diligence raisonnable à plusieurs étapes d'un projet. Cela se traduit par de multiples étapes de révision du code, tant au début d'un projet que tout au long du processus de développement et de déploiement. Ce n'est pas une mince affaire, et c'est encore plus compliqué si l'on considère que les failles de sécurité peuvent avoir comme source des criminels extérieurs ou des agents internes travaillant sur ces projets.

Comment peut-on se protéger ?

Une arme essentielle dans la lutte contre les mises à jour de logiciels malveillants est la résolution de la dette technique. C'est la différence entre le « prix » (temps, ressources humaines, investissement technologique) qu'un projet technique devrait coûter pour être parfait et à l'épreuve du temps, et le « montant » qu'une entreprise est prête à payer à ce moment-là. Les produits peuvent être retardés en raison de la réduction des investissements, mais une grande partie de cette dette concerne l'application des mises à jour logicielles – absolument nécessaires, et si souvent négligées.

Même s'il est possible que des acteurs malveillants (qu'il s'agisse d'États-nations ou de criminels motivés par des raisons financières) produisent des malwares par le biais de mises à jour logicielles, les administrateurs IT doivent veiller à appliquer les mises à jour et les correctifs au fur et à mesure qu'ils sont disponibles.

Si la dette technique s'accumule, les vulnérabilités et les failles de sécurité constitueront une porte d'entrée béante pour les malfrats – et la combinaison entre de nouvelles techniques de diffusion des malwares avec des vulnérabilités non corrigées est préoccupante.

En outre, avec l'augmentation du travail hybride, les utilisateurs finaux doivent être plus impliqués quant à l'application des correctifs et des mises à jour de leurs systèmes. Cela peut mener à des situations où les mises à jour ne sont pas appliquées, ou à ce qu'elles soient appliquées par des personnes qui n'ont pas l'habitude de cette tâche, ce qui signifie qu'elles sont plus susceptibles d'accepter un comportement que des équipes informatiques considéreraient comme suspect. Les responsables doivent veiller à ce que la formation à la cybersécurité soit déployée et régulièrement mise à jour, afin que les employés constituent une première ligne de défense.

Solarwinds n'était pas le premier incident à tirer parti de mises à jour malveillantes et ce ne sera certainement pas le dernier, mais avec une sensibilisation à l'échelle de l'entreprise et une gestion rigoureuse des correctifs, nous pouvons renforcer nos défenses.

Taking a closer look at software attack vectors

It's clear that both nation-states and hacker groups alike will continue to target supply chain providers across multiple industries. I’ve written about how technical debt can make organizations vulnerable. That’s one consideration. But how and where are bad actors launching new attacks? What other attack vectors could be exploited?

While attacks like Sunburst, ransomware attacks perpetrated by the REvil group such as against Kaseya and others continue to draw mainstream attention, one lesser-reported hack in 2021 caught my attention: the four OMIGOD vulnerabilities that affect the Open Management Infrastructure (OMI) software agent on Azure Linux machines.

Open source projects continue to grow exponentially. It’s true that open source software security has improved dramatically over the last 10 years, and it’s no question that open source software vulnerabilities are being patched at  a much more rapid pace. That’s the good news. But it’s also true that open source supply chain attacks are increasing at an alarming rate. In its 2021 State of the Software Supply Chain report, Sonatype estimates 12,000 attacks on open source projects occurred—representing a 650% increase year over year.

 

The competitive priority placed on innovation and relentless focus on shortening time-to-market drives organizations large and small to adopt open source projects. Government agencies and private sector organizations alike feel the pressure to innovate and to deploy software projects at an ever-increasing rate. But the adage to ‘move fast and break things’ comes at a cost, especially from a cybersecurity perspective.

As such, it’s imperative for each of us across the public and private sector to prioritize security across every one of our open source projects. Leveraging open source is partly about innovation and time to market. But organizations must perform due diligence at many stages throughout a project. That translates to multiple layers of code review both at the start of a project and throughout the development and deployment process. No small undertaking indeed - and made even more complicated when you consider exploits can come from bad actors outside or via internal resources working on those projects.

How can we protect ourselves?

A key weapon in the fight against malicious software updates is addressing technical debt. This is the difference between the ‘price’ (time, human resources, technology investment) a technical project should cost in order to be perfect and future-proofed, and the “price” an organization is prepared to pay at the time. Products can get behind the curve due to reduced investment, but a lot of this debt centres around applying software updates – absolutely necessary, and so often overlooked.

Even though there is the possibility that malicious actors (whether nation-state or financially-motivated criminal!) may output malware through software updates, IT administrators must keep on top of applying updates and patches as they come in.

If technical debt builds, vulnerabilities and security holes will provide a way in for attackers – and the combination of new malware delivery techniques plus unpatched vulnerabilities causes concern.

In addition, with the increase in hybrid working, end users are having to be more responsible for patching and updating their systems. This could lead to either updates not happening at all, or updates being applied by those unused to the task, meaning they are more likely to accept behavior IT teams would spot as suspicious. Leaders should ensure that cybersecurity training is rolled out and regularly updated, to ensure employees act as a first line of defense.

The Sunburst malware wasn’t the first incident to take advantage of malicious software updates and it certainly isn’t going to be the last, but with company-wide awareness and strong patch management we can raise our defenses.