Il mondo è pronto a fronteggiare gli aggiornamenti malevoli per il mercato di massa?

Uno sguardo più da vicino ai vettori degli attacchi software

È chiaro che gli operatori delle catene logistiche di vari settori economici resteranno nel mirino di criminali costituiti in gruppi privati o addirittura in entità nazionali. Ho già scritto di come il debito tecnico può rendere vulnerabili le organizzazioni. E questa è una delle considerazioni. Ma come e dove stanno lanciando i loro attacchi questi pirati? Quali altri vettori di attacco potrebbero sfruttare?

Mentre attacchi come Sunburst, ransomware sferrati dal gruppo REvil come quello contro Kaseya e altri continuano ad attirare l’attenzione dei media, una violazione avvenuta nel 2021 suscitando meno clamore ha risvegliato il mio interesse: le quattro vulnerabilità OMIGOD dell’agente software Open Management Infrastructure (OMI) sulle macchine Azure Linux.

I progetti open source continuano a crescere in modo esponenziale. È vero che la sicurezza dei software open source è migliorata nettamente nel corso dell’ultimo decennio così come è vero che le patch per le vulnerabilità dei software open source vengono rilasciate molto più rapidamente. E questa è la buona notizia. Ma è vero anche che gli attacchi alle catene logistiche che fanno ricorso all’open source stanno aumentando a una velocità allarmante. Nel suo 2021 State of the Software Supply Chain report, Sonatype stima che si siano verificati 12.000 attacchi su progetti open source, con un aumento del 650% da un anno all’altro.

 

In un mercato fortemente competitivo, il valore attribuito all’innovazione e l’attenzione maniacale con cui si tenta di accorciare il time-to-market spinge organizzazioni grandi e piccole ad adottare progetti open source. Agenzie pubbliche e aziende private senza distinzioni si sentono schiacciate dalla necessità di innovare e distribuire progetti software a un ritmo sempre più incalzante. Ma l’adagio “chi va piano va sano e va lontano” ha il suo valido motivo d’essere, soprattutto in prospettiva di sicurezza informatica.

In questo senso, è imperativo che ciascuno di noi, sia nel settore privato che in quello pubblico, dia priorità alla sicurezza in ognuno dei nostri progetti open source. La scelta dell’open source è, almeno in parte, questione di innovazione e time-to-market. Ma le organizzazioni devono svolgere le procedure di due diligence in molte fasi di un progetto, e questo comporta svariati livelli di revisione del codice sia all’inizio di un progetto sia in fase di sviluppo e distribuzione. Non è sicuramente un’impresa da poco, e risulta ulteriormente complicata se consideriamo che i potenziali exploit possono venire da pirati esterni o da risorse interne che lavorano a quei progetti.

Come possiamo proteggerci?

Un’arma cruciale nella lotta contro gli aggiornamenti software malevoli consiste nell’affrontare il debito tecnico. Si tratta della differenza tra il “prezzo” (tempo, risorse umane, investimento in tecnologia), ovvero il costo di un progetto tecnico affinché sia perfetto e a prova di futuro, e il “prezzo” che un’organizzazione è disposta a pagare in un dato momento. I prodotti possono non essere al passo con i tempi per via di un ridotto investimento, ma buona parte di questo debito riguarda l’applicazione degli aggiornamenti software, assolutamente necessari ma spesso trascurati.

Nonostante il rischio che i criminali (che agiscano per lucro o che siano sostenuti da uno Stato) diffondano i malware tramite gli aggiornamenti software, gli amministratori IT devono sempre applicare patch e aggiornamenti non appena diventano disponibili.

Se si accumula un debito tecnico, vulnerabilità e falle nella sicurezza aprono un varco ai pirati informatici e la combinazione di nuove tecniche per la distribuzione dei malware e vulnerabilità non corrette è causa di preoccupazione.

In più, con la diffusione del lavoro ibrido, gli utenti finali hanno maggiori responsabilità riguardo all’installazione di aggiornamenti e patch per i loro sistemi. La conseguenza è o la mancata installazione o un’installazione eseguita da persone inesperte, incapaci di rilevare anomalie che agli occhi di un team IT apparirebbero immediatamente sospette. I responsabili aziendali devono assicurare la distribuzione e l’aggiornamento regolare di sessioni di formazione sulla sicurezza informatica, per fare in modo che i dipendenti agiscano come prima linea di difesa.

Quello di Solarwinds non è stato il primo episodio in cui il malware si è diffuso attraverso aggiornamenti software e sicuramente non sarà l’ultimo, ma con una maggiore consapevolezza a livello dell’intera azienda e una solida gestione delle patch possiamo consolidare le nostre difese.

Taking a closer look at software attack vectors

It's clear that both nation-states and hacker groups alike will continue to target supply chain providers across multiple industries. I’ve written about how technical debt can make organizations vulnerable. That’s one consideration. But how and where are bad actors launching new attacks? What other attack vectors could be exploited?

While attacks like Sunburst, ransomware attacks perpetrated by the REvil group such as against Kaseya and others continue to draw mainstream attention, one lesser-reported hack in 2021 caught my attention: the four OMIGOD vulnerabilities that affect the Open Management Infrastructure (OMI) software agent on Azure Linux machines.

Open source projects continue to grow exponentially. It’s true that open source software security has improved dramatically over the last 10 years, and it’s no question that open source software vulnerabilities are being patched at  a much more rapid pace. That’s the good news. But it’s also true that open source supply chain attacks are increasing at an alarming rate. In its 2021 State of the Software Supply Chain report, Sonatype estimates 12,000 attacks on open source projects occurred—representing a 650% increase year over year.

 

The competitive priority placed on innovation and relentless focus on shortening time-to-market drives organizations large and small to adopt open source projects. Government agencies and private sector organizations alike feel the pressure to innovate and to deploy software projects at an ever-increasing rate. But the adage to ‘move fast and break things’ comes at a cost, especially from a cybersecurity perspective.

As such, it’s imperative for each of us across the public and private sector to prioritize security across every one of our open source projects. Leveraging open source is partly about innovation and time to market. But organizations must perform due diligence at many stages throughout a project. That translates to multiple layers of code review both at the start of a project and throughout the development and deployment process. No small undertaking indeed - and made even more complicated when you consider exploits can come from bad actors outside or via internal resources working on those projects.

How can we protect ourselves?

A key weapon in the fight against malicious software updates is addressing technical debt. This is the difference between the ‘price’ (time, human resources, technology investment) a technical project should cost in order to be perfect and future-proofed, and the “price” an organization is prepared to pay at the time. Products can get behind the curve due to reduced investment, but a lot of this debt centres around applying software updates – absolutely necessary, and so often overlooked.

Even though there is the possibility that malicious actors (whether nation-state or financially-motivated criminal!) may output malware through software updates, IT administrators must keep on top of applying updates and patches as they come in.

If technical debt builds, vulnerabilities and security holes will provide a way in for attackers – and the combination of new malware delivery techniques plus unpatched vulnerabilities causes concern.

In addition, with the increase in hybrid working, end users are having to be more responsible for patching and updating their systems. This could lead to either updates not happening at all, or updates being applied by those unused to the task, meaning they are more likely to accept behavior IT teams would spot as suspicious. Leaders should ensure that cybersecurity training is rolled out and regularly updated, to ensure employees act as a first line of defense.

The Sunburst malware wasn’t the first incident to take advantage of malicious software updates and it certainly isn’t going to be the last, but with company-wide awareness and strong patch management we can raise our defenses.