:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Analyse des Synopsys Cybersecurity Research Center Repo-Jacking in der Softwarelieferkette
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Neben der Anfang August beobachteten Pull-Bedrohung für GitHub-Projekte greift auch das Repository-Hijacking, kurz Repo Jacking, vermehrt um sich. Für Open-Source-Repositories ist diese Form des Lieferketten-Angriffs eine ernste Bedrohung.
Repo Jacking meint eine von außen provozierte, erzwungene Übernahme eines Eigentümer- oder Projektbetreuerkontos, das ein Repository hostet. Dadurch hat ein Angreifer die Möglichkeit, bösartigen Code in Implementierungen eines oder mehrerer Projekte einzuschleusen, die es als Abhängigkeit nutzen.
Diese Art des Lieferkettenangriffs beruht in der Regel auf einer von zwei Methoden. Beide nutzen eine fehlende Validierung der Neuanmeldung auf Hosting-Plattformen wie etwa GitHub aus:
Namensänderung: Wenn ein Benutzer einer Hosting-Plattform seinen Benutzernamen ändert, kann ein Angreifer das Repository möglicherweise mit dem ursprünglichen Benutzernamen neu registrieren. Auf diesem Weg lässt sich das Repository neu erstellen. Dabei ist die ursprüngliche Repository-URL für Aktualisierungen durch Pakete des Opfers (die das Projekt als Abhängigkeit nutzen) wahrscheinlich auch weiterhin zugänglich.
Kontolöschung: Ähnlich wie bei einer Namensänderung kann ein Angreifer ein gelöschtes Konto erneut registrieren und das Repository neu erstellen. Diese Methode verursacht eher Fehler bei Projekten, die versuchen, das Repository über eine URL abzurufen, da der Link beschädigt würde. Dies lässt erfolgreich umgehen. Dazu wird der gelöschte Benutzername erneut registriert – und zwar zwischen dem Löschzeitpunkt und der Aktualisierung von Projekten, die versuchen, das Repository abzurufen.
In beiden Fällen erlangt ein Angreifer volle Kontrolle über das Repository. Dies erlaubt ihm erlaubt, eine Reihe privilegierter Aktionen auszuführen. Er kann zum Beispiel weitere böswillige Benutzer hinzufügen oder selbst Administrator- und Betreuerkonten anlegen. Damit lassen sich dann Push- und Pull-Anforderungen an ein Repository genehmigen.
Über diesen Umweg kann der Angreifer erzwingen, dass Schad-Code oder zumindest unerwünschter Code in neue Versionen eines Projekts gelangt. Umgekehrt ist es möglich, Versionen und funktionalen Code aus dem Repository zu löschen oder absichtlich fehlerhafte Commits zu veröffentlichen. So werden bereits vorhandene Funktionen sabotiert oder beschädigt.
Schädliche Auswirkungen auf die Sicherheit
Erfolgreiche Repository-Hijacking-Angriffe haben potenziell schwerwiegende Auswirkungen auf die Sicherheit der Nutzer eines Pakets oder Produkts – insbesondere dann, wenn die betroffenen Pakete als Abhängigkeiten verwendet werden. Dies liegt häufig an der Art des Angriffs, der das uneingeschränkte Hochladen von Schadcode mit der erneuten Freigabe bestehender Versionen oder der Freigabe neuer Versionen ermöglicht. Sie werden benutzt, um den Schadcode direkt in externe Projekte einzuschleusen, die automatisch auf eine neue Version des betroffenen Pakets wechseln oder eine kürzlich veröffentlichte Version verwenden, die manuell eingestellt wird.
Angriffe bleiben nicht selten tage- oder sogar wochenlang unentdeckt und werden in der Regel nur von aufmerksamen Forschern, Nutzern oder dem ursprünglichen Eigentümer aufgedeckt (wie im Fall von UAParser.js). Wie man mit dem Problem umgeht, liegt zumeist in der Verantwortung der Hosting-Plattform. Sie kann entsprechende Maßnahmen ergreifen, um bösartige Paketversionen zu entschärfen, sie entfernen oder das kompromittierte Konto sperren.
Die Angriffe selbst lassen sich relativ einfach umsetzen, hängen aber in hohem Maße von bestimmten Bedingungen ab. Diese sind in der Regel nicht in den Konten von beliebten Projekt-Eigentümern vorzufinden; insbesondere nicht bei Projekten, die häufig aktualisiert werden. In solchen Fällen nehmen die Angreifer aktive Kontobesitzer mit Phishing- oder genauer „Whaling“-Techniken ins Visier. So verschaffen sie sich Zugriff auf das Konto oder zwingen sie Aktionen in Form von Cross-Site-Scripting-Angriffen auszuführen – obwohl viele Browser und Websites über einen integrierten Schutz gegen diese Angriffe verfügen.
Repo-Jacking in der Praxis
CTX
Ein aktuelles Beispiel für Repository-Hijacking ist das Python-Paket CTX. Dessen Repository wurde auf der beliebten Hosting-Seite PyPI feindlich übernommen. In diesem Fall war die ursprüngliche Domain-Hosting-Mail des Kontoinhabers abgelaufen. So konnte das Passwort zurückgesetzt und die Domain von einem Dritten neu registriert werden.
Wie viel Zeit zwischen Ablauf des Kontos und dem erfolgreichen Hijacking-Versuch tatsächlich verging, ist unklar. Einmal eingeleitet, benötigte der Angreifer bei seinem Hijacking-Versuch aber lediglich 40 Minuten, um bösartige Versionen des Pakets hochzuladen und die ursprünglichen Versionen zu ersetzen.
Hierbei wurde ein Codeabschnitt in die Datei ctx.py eingefügt, der die Umgebungsvariablen eines Benutzers abzieht und die Daten an einen externen Endpunkt schickt. In diesem Fall war das ein gehosteter Heroku-Server. Die Daten enthielten potenziell sensible Benutzerinformationen wie API-Schlüssel und Passwörter. Sie waren als Umgebungsvariablen gespeichert, was sie leicht zugänglich machte.
Die Übernahme blieb zehn Tage lang unentdeckt. Innerhalb dieses Zeitraums wurden die manipulierten Versionen von CTX über 27.000 Mal heruntergeladen. Danach handelten die PyPI-Administratoren schnell. Sie sperrten das übernommene Konto und entfernten sämtliche Versionen von CTX, sowohl die böswilligen als auch die ursprünglichen. Die Schwachstelle ist im Black Duck Security Advisory BDSA-2022-1523 dokumentiert.
PhPass
Auf die gleiche Art und Weise wurde das PHP-Paket PhPass ausgenutzt, das auf der PHP-Hosting-Plattform Packagist und bei GitHub gehostet wird. Das Konto des ursprünglichen Eigentümers wurde von einem Angreifer gelöscht und neu registriert. Dadurch konnte er direkt auf das ursprüngliche Repository zugreifen und die ursprünglichen Paketversionen durch bösartige ersetzen. Der in diesen Ersatzversionen enthaltene Schadcode führte die gleiche Aktion aus wie bei der CTX-Übernahme – er extrahiert Umgebungsvariablen an genau denselben Endpunkt.
Um das Problem zu beheben, wurde ein Fork des Repository erstellt, der die ursprünglichen, nicht schädlichen Versionen enthält. Um sicherzustellen, dass keine weiteren Downloads von Versionen aus dem bösartigen Repository erfolgen, leitete Packagist die ursprüngliche Download-URL auf den neuen Fork um. Diese Schwachstelle ist im Black Duck Security Advisory BDSA-2022-1526 dokumentiert.
UAParser.js
Ein extremer Fall von Repository-Hijacking ereignete sich im Oktober 2021. Dabei gelang es, die beliebte JavaScript-Bibliothek UAParser.js durch die Übernahme des npm-Kontos des Autors zum Angriffsvektor umzufunktionieren. Der Angreifer veröffentlichte drei bösartige Versionen: 0.7.29, 0.8.0 und 1.0.0. Das Ganze weitete sich rasch zu einem massiven Angriff aus, denn das Paket wird in zahlreichen Projekten weiterverwendet und entsprechend häufig heruntergeladen: zwischen 8 und 9 Millionen Mal pro Woche.
Der in diesen Versionen eingeführte bösartige Code hat besonders schädliche Auswirkungen. Vor allem lädt er bei der Installation Binärdateien von einem Remote-Server herunter und führte sie aus. Eine dieser Binärdateien war eine Crypto-Mining-Software. Das Beispiel zeigte, dass ein Remote-Angreifer in der Lage ist, das System eines Opfers komplett zu kontrollieren. Eine weitere Binärdatei, die nur auf Windows-Systemen eingeschleust worden war, entpuppte sich als Trojaner, welcher sensible Daten ausleitete.
Stunden nach dem UAParser.js-Angriff entfernte der Autor des Pakets die kompromittierten Versionen von npm und veröffentlichte drei neue Versionen (0.7.30, 0.8.1 und 1.0.1). Damit wollte man verhindern, dass automatisch geplante Upgrades die schädlichen Versionen beibehalten. Diese Schwachstelle ist im Black Duck Security Advisory BDSA-2021-3228 dokumentiert.
Welche Methoden vor Repo-Jacking schützen
Die Zahl der Angriffe auf die Lieferketten nimmt weiter zu – und damit auch Fälle von Repository-Hacking. Die sind nämlich meist der erste Schritt eines solchen Angriffs. Es mag simpel sein, ein Repository zu übernehmen. Die Folgen sind dennoch ernst und die Auswirkungen weitreichend. Zumindest gibt es einige Maßnahmen, um Abhilfe zu schaffen. Teils sind sie aktuell bereits verfügbar, teils in Vorbereitung.
Die Multifaktor-Authentifizierung, in der Regel als Zwei-Faktor-Authentifizierung (2FA) implementiert, bietet eine zweite Sicherheitsebene beim Zugriff auf Konten. Theoretisch sollte sie verhindern, dass ein Angreifer auf ein abgelaufenes oder gelöschtes Konto zugreifen kann. GitHub, einer der größten Hoster, hat angekündigt, dass 2FA ab 2023 für alle Betreuerkonten verpflichtend sein soll.
Den Stellenwert der Initiative verdeutlicht die Tatsache, dass derzeit nur 16,5 Prozent der aktiven GitHub-Nutzer 2FA verwenden. Der beliebte JavaScript-Paketmanager npm hingegen verzichtet auf eine solche Maßnahme und hat auch nichts dergleichen angekündigt. Und das obwohl laut Aqua Security, Team Nautilus, knapp ein Drittel der 35 wichtigsten npm-Pakete aufgrund fehlender 2FA von einer Kontoübernahme bedroht ist.
Domain-Übernahmen sind ein gängiger Teil der Lieferkette beim Hijacking von Repositories, z. B. wenn ein Angreifer die abgelaufene Domain einer E-Mail neu registriert und die Domain verwendet, um eine Passwortrücksetzung anzustoßen. Repository-Hosting-Plattformen können versuchen, das zu verhindern, indem sie Konten mit kurz vor dem Ablauf stehenden oder abgelaufenen Domains präventiv entfernen oder sperren.
Dieses Glied innerhalb der Kette zu durchtrennen ist ein wichtiger Schritt, um den Zugang zu Konten zu blockieren, die potenziell kompromittiert werden könnten. Damit ist allerdings ein höherer Wartungs- und Überwachungsaufwand für die Hosting-Plattformen verbunden.
Fazit
In den kommenden Jahren und Monaten werden Open-Source-Projekte weiter expandieren. Ihre Zahl wächst, wodurch sie noch abhängiger und anfälliger für Hijacking werden. Parallel dazu werden mehr und mehr Eigentümer- und Autorenkonten inaktiv oder sie stehen zum Löschen an. Das eröffnet zusätzliche Möglichkeiten, Repositories zu übernehmen.
Es ist möglich, viele dieser Schwachstellen zu entschärfen. Ein Blick in die Branchenlandschaft ist allerdings eher desillusionierend. Tatsächlich entscheiden sich zu wenige Nutzer für präventive Technologien wie MFA. Methoden wie 2FA obligatorisch einzuführen, wie das jetzt GitHub getan hat, könnte den Weg in die Zukunft weisen.
Wer Open-Source-Komponenten einsetzt, sollte genau wissen, was er tut. Unerlässlich ist ein Bewusstsein dafür, was genau bei der Softwareentwicklung verwendet wird – sei es der Quellcode, seien es direkte oder transitive Abhängigkeiten einer Open-Source-Software. Es gilt, hinsichtlich der Veränderungen und potenziellen Gefahrenquellen bei OSS immer auf dem aktuellen Stand zu sein – auch wenn es sich um einen Fall wie Repo-Jacking handelt.
* Boris Cipot ist Senior Sales Engineer bei Synopsys.
(ID:48538365)
:quality(80)/p7i.vogel.de/wcms/0a/41/0a41159f205e5e248597daf12ff09489/0111390380.jpeg "Hartnäckige Angreifer, die im Open-Source-Ökosystem operieren und versuchen, Versionskontrollsysteme wie GitHub und Paketmanager wie PyPI und npm zu kompromittieren, sind eine ständige Bedrohung. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/e6/ace600a66b6df728ffb1be3a9bf8be64/0107990544.jpeg "Mithilfe von Shadow Domains können Cyberkriminelle lange Zeit unauffällig operieren. (Bild: © – BillionPhotos.com – stock.adobe.com)")