Исследовательская группа Wiz недавно обнаружила уязвимость в цепочке поставок в IBM Cloud, которая, по их словам, впервые повлияла на инфраструктуру поставщика облачных услуг.
В драматическом чутье они назвали недостаток Адским брелком.
О проблемах безопасности было сообщено в IBM Cloud в конце августа, и они были исправлены в начале сентября. До того, как он был исправлен, злоумышленник, зная об уязвимости, мог запустить вредоносный код и изменить данные, хранящиеся у любого клиента IBM Cloud, использующего PostgreSQL.
Рецепт доступа: секреты запрещенной ссылки и связки ключей
Исследователи Wiz — Ронен Шустин, Шир Тамари, Нир Офельд и Саги Цадик — написали в своем блоге: «По нашему опыту, рецепт атаки на цепочку поставок поставщика облачных услуг (CSP) состоит из двух ингредиентов: запрещенной ссылки и Брелок. Запрещенная ссылка представляет собой доступ к сети, в частности, это связь между производственной средой и средой сборки».
Брелок, по их словам, «символизирует набор одного или нескольких разбросанных секретов, которые злоумышленник находит в целевой среде. Хотя оба компонента по отдельности негигиеничны, в сочетании они образуют фатальное соединение».
В случае Hell’s Keychain тремя секретами цепочки для ключей были токен сервисной учетной записи Kubernetes, пароль реестра частного контейнера и учетные данные сервера CI/CD. Запрещенная ссылка соединяла личный экземпляр PostgreSQL со средой сборки IBM Cloud Databases.
Также читайте:
Руководство по безопасности цепочки поставок программного обеспечения для разработчиков
Как хакеры компрометируют цепочку поставок программного обеспечения
Внедрение SQL и очистка реестра контейнеров
Исследователи сначала обнаружили уязвимость
Их действия вызвали предупреждение от группы безопасности IBM Cloud, которая в конечном итоге дала им разрешение продолжить свои исследования.
Во время исследования среды они обнаружили токен API Kubernetes, который они использовали для доступа к API Kubernetes и просмотра списка других модулей, на которых запущены экземпляры PostgreSQL. Затем они использовали очистку реестра контейнеров, чтобы найти четыре учетных данных, которые можно использовать для доступа к нескольким реестрам контейнеров.
«Наш запрос IAM API IBM Cloud показал, что это был ключ API, способный получить доступ к образам реестра контейнеров IBM Cloud, которые, как оказалось, имеют авторизацию
Хотя оказалось, что описание ключа было неточным — они не могли писать в реестр контейнеров — они все же считали свои выводы серьезными. «Если бы злоумышленник получил эти учетные данные, он мог бы извлечь и изучить сотни изображений, принадлежащих службам управляемых баз данных IBM Cloud», — написали они.
Читайте также: Как защититься от SQL-инъекций
Сетевой доступ к серверам IBM Cloud Build
Исследователи просканировали образы контейнеров, к которым у них был доступ, и обнаружили несколько важных секретов в пропущенных файлах, включая учетные данные FTP и учетные данные внутреннего репозитория артефактов для внутренних служб IBM Cloud.
Затем они изучили исторические команды, используемые для создания образа контейнера, чтобы узнать, какие артефакты были задействованы. «Когда мы попытались получить доступ к этим серверам с машины, на которой размещен экземпляр PostgreSQL, мы были потрясены, узнав, что у нас есть сетевой доступ к внутренним серверам сборки IBM Cloud! Затем мы приступили к аутентификации, используя учетные данные репозитория артефактов, и при этом успешно обнаружили запрещенную ссылку», — написали они.
Наконец, они проверили свои разрешения, создав файлы в репозиториях, используемых в процессе сборки образа PostgreSQL. «Это доказало, что мы можем перезаписать произвольные файлы в пакетах, которые были бы установлены на каждом экземпляре PostgreSQL, установив путь атаки по цепочке поставок», — написали они.
Уроки для изучения
Исследователи Wiz заявили, что Hell’s Keychain «показывает, как разрозненные учетные данные открытого текста в вашей среде могут создать огромный риск для вашей организации, нарушая ее целостность и изоляцию арендаторов. Более того, уязвимость подчеркивает необходимость строгого контроля сети и демонстрирует, что доступ модуля к Kubernetes API является распространенной неправильной конфигурацией, которая может привести к неограниченному раскрытию и очистке реестра контейнеров».
По словам исследователей, из их результатов можно извлечь три ключевых урока:
Постоянно следите за своим окружением на предмет разрозненных секретов
Убедитесь, что ваша производственная среда имеет строгий сетевой контроль
Настройте реестр контейнеров, чтобы предотвратить его очистку злоумышленниками.
«IBM Cloud быстро исследовала и устранила обнаруженные нами уязвимости и проблемы безопасности», — написали они. «Нам понравилось работать с командой безопасности IBM Cloud, которая очень серьезно подошла к проблемам, решая их быстро и профессионально».
