Estamos prontos para atualizações maliciosas em massa?

Uma olhadinha mais atenta para os vetores de ataque de software

Está claro que tanto os Estados-nação quanto os grupos de hackers continuarão a visar fornecedores da cadeia de suprimentos em vários setores. Eu escrevi sobre como a dívida técnica pode tornar as organizações vulneráveis. Essa é uma consideração. Mas como e onde os criminosos estão lançando novos ataques? Quais outros vetores de ataque poderiam ser explorados?

Enquanto ataques como Sunburst e ataques de ransomware perpetrados pelo grupo REvil, como contra a Kaseya e outros, continuam a chamar a atenção do público, um ataque menos relatado em 2021 chamou minha atenção: as quatro vulnerabilidades OMIGOD que afetam o agente de software Open Management Infrastructure (OMI) em máquinas Linux do Azure.

Os projetos de código aberto continuam a crescer exponencialmente. É verdade que a segurança de softwares de código aberto melhorou drasticamente nos últimos 10 anos e não há dúvidas de que as vulnerabilidades dos softwares de código aberto estão sendo corrigidas em um ritmo muito mais rápido. Essas são as notícias boas. Mas também é verdade que os ataques de cadeia de suprimentos de código aberto estão aumentando em ritmo alarmante. No relatório de 2021 sobre o Estado da Cadeia de Suprimentos de Software, a Sonatype estima que 12.000 ataques a projetos de código aberto ocorreram—um aumento de 650% em relação ao ano anterior.

 

A prioridade competitiva dedicada à inovação e o foco implacável na redução do tempo de colocação no mercado levam as organizações de todos os portes a adotarem projetos de código aberto. Tanto as agências governamentais quanto as organizações do setor privado sentem a pressão para inovar e implementar projetos de software em ritmo cada vez mais rápido. Mas o ditado de "fazer, depois pensar" tem um custo, especialmente do ponto de vista da cibersegurança.

Assim, é fundamental para cada um de nós, tanto no setor público como no privado, priorizar a segurança em todos os projetos de código aberto. O uso de código aberto está em parte relacionado a inovação e tempo de chegada ao mercado. Mas as organizações devem fazer diligência prévia em várias fases ao longo de um projeto. Isso resulta em várias camadas de revisão de código, tanto no início de um projeto quanto ao longo do processo de desenvolvimento e implementação. Não é uma tarefa pequena, é verdade. E fica ainda mais complicada quando consideramos que os exploits podem vir de agentes mal-intencionados externos ou por meio de recursos internos que trabalham nesses projetos.

Como podemos nos proteger?

Uma arma fundamental na luta contra as atualizações de software maliciosas é abordar a dívida técnica. Dívida técnica é a diferença entre o “preço” (tempo, recursos humanos, investimento em tecnologia) que um projeto técnico precisa custar para ser perfeito e preparado para o futuro, e o “preço” que uma organização está preparada para pagar no período. Os produtos podem ficar atrás da curva devido ao investimento reduzido, mas muito dessa dívida gira em torno da aplicação de atualizações de software – absolutamente necessárias, e tantas vezes negligenciadas.

Mesmo que haja a possibilidade de que agentes mal-intencionados (que podem ser Estados-nações ou criminosos com motivação financeira!) entreguem malwares por meio de atualizações de software, os administradores de TI devem se manter em dia com a aplicação de atualizações e patches à medida que chegam.

Se a dívida técnica se acumular, as vulnerabilidades e brechas de segurança fornecerão um caminho para os atacantes – e a combinação de novas técnicas de entrega de malware com vulnerabilidades não corrigidas causa preocupação.

Além disso, com o aumento do trabalho híbrido, os usuários finais estão assumindo a responsabilidade por corrigir e atualizar seus sistemas. Isso pode fazer com que as atualizações não aconteçam ou sejam aplicadas por pessoas que não estão acostumadas com a tarefa, o que significa que têm mais probabilidade de aceitar comportamentos que as equipes de TI considerariam suspeitos. Os líderes devem garantir que o treinamento de cibersegurança seja implementado e atualizado regularmente, para garantir que os funcionários atuem como a primeira linha de defesa.

O Solarwinds não foi o primeiro incidente a tirar proveito de atualizações de software maliciosas, e certamente não será o último. No entanto, com conscientização de toda a empresa e gerenciamento rigoroso dos patches, podemos aumentar nossas defesas.

Taking a closer look at software attack vectors

It's clear that both nation-states and hacker groups alike will continue to target supply chain providers across multiple industries. I’ve written about how technical debt can make organizations vulnerable. That’s one consideration. But how and where are bad actors launching new attacks? What other attack vectors could be exploited?

While attacks like Sunburst, ransomware attacks perpetrated by the REvil group such as against Kaseya and others continue to draw mainstream attention, one lesser-reported hack in 2021 caught my attention: the four OMIGOD vulnerabilities that affect the Open Management Infrastructure (OMI) software agent on Azure Linux machines.

Open source projects continue to grow exponentially. It’s true that open source software security has improved dramatically over the last 10 years, and it’s no question that open source software vulnerabilities are being patched at  a much more rapid pace. That’s the good news. But it’s also true that open source supply chain attacks are increasing at an alarming rate. In its 2021 State of the Software Supply Chain report, Sonatype estimates 12,000 attacks on open source projects occurred—representing a 650% increase year over year.

 

The competitive priority placed on innovation and relentless focus on shortening time-to-market drives organizations large and small to adopt open source projects. Government agencies and private sector organizations alike feel the pressure to innovate and to deploy software projects at an ever-increasing rate. But the adage to ‘move fast and break things’ comes at a cost, especially from a cybersecurity perspective.

As such, it’s imperative for each of us across the public and private sector to prioritize security across every one of our open source projects. Leveraging open source is partly about innovation and time to market. But organizations must perform due diligence at many stages throughout a project. That translates to multiple layers of code review both at the start of a project and throughout the development and deployment process. No small undertaking indeed - and made even more complicated when you consider exploits can come from bad actors outside or via internal resources working on those projects.

How can we protect ourselves?

A key weapon in the fight against malicious software updates is addressing technical debt. This is the difference between the ‘price’ (time, human resources, technology investment) a technical project should cost in order to be perfect and future-proofed, and the “price” an organization is prepared to pay at the time. Products can get behind the curve due to reduced investment, but a lot of this debt centres around applying software updates – absolutely necessary, and so often overlooked.

Even though there is the possibility that malicious actors (whether nation-state or financially-motivated criminal!) may output malware through software updates, IT administrators must keep on top of applying updates and patches as they come in.

If technical debt builds, vulnerabilities and security holes will provide a way in for attackers – and the combination of new malware delivery techniques plus unpatched vulnerabilities causes concern.

In addition, with the increase in hybrid working, end users are having to be more responsible for patching and updating their systems. This could lead to either updates not happening at all, or updates being applied by those unused to the task, meaning they are more likely to accept behavior IT teams would spot as suspicious. Leaders should ensure that cybersecurity training is rolled out and regularly updated, to ensure employees act as a first line of defense.

The Sunburst malware wasn’t the first incident to take advantage of malicious software updates and it certainly isn’t going to be the last, but with company-wide awareness and strong patch management we can raise our defenses.