O ataque à cadeia de suprimentos da SolarWinds está em todos os noticiários, impactando agências governamentais, empresas de telecomunicações e outras grandes organizações. A empresa de segurança FireEye foi a primeira vítima do ataque, revelando que havia sido hackeada em 8 de dezembro de 2020. Em 13 de dezembro, o Departamento do Tesouro dos Estados Unidos anunciou que também havia sido comprometido. Naquela época, o SolarWinds Orion foi oficialmente relatado como o vetor de intrusão.
Desde então, a SolarWinds declarou que “menos de 18.000” empresas foram afetadas. As empresas afetadas pelo ataque à cadeia de suprimentos da SolarWinds incluem Intel, NVidia e Cisco.
O que é um ataque à cadeia de abastecimento?
Um ataque à cadeia de suprimentos envolve obter acesso a um sistema visando um terceiro confiável usado por esse sistema. Isso pode incluir qualquer ponto da cadeia de abastecimento.
Por exemplo, a violação de dados do Target de 2013, o ataque de varejo mais caro da história na época, foi rastreada por invasores que primeiro comprometeram um fornecedor de HVAC. Os invasores usaram credenciais obtidas desse fornecedor para obter acesso à rede interna do alvo.
Mais recentemente, os ataques à cadeia de suprimentos se concentraram em fornecedores de software. O comprometimento de uma única organização pode ter um impacto muito maior se o software comprometido for distribuído para muitos usuários. Em 2017, os invasores espalharam a variante do malware NotPetya e causaram bilhões de dólares em danos ao comprometer servidores de atualização pertencentes à MeDoc, uma empresa de software de contabilidade com milhares de clientes.
E quanto ao SolarWinds?
SolarWinds Orion é um produto de gerenciamento e monitoramento de rede, o que significa que pode ser configurado para ter um controle imenso sobre a infraestrutura de uma organização.
Um ator de ameaça de estado-nação atualmente não confirmado conseguiu injetar um backdoor, conhecido como SUNBURST, em várias versões do software Orion antes de serem baixadas pelos clientes da SolarWinds.
Nesse caso, a SolarWinds era o terceiro de confiança, e até 18.000 de seus clientes, muitos deles grandes empresas, baixaram e instalaram uma versão infectada do Orion já em março de 2020.
Apesar do número de usuários infectados, o invasor parece ter se concentrado em permanecer oculto enquanto coleta informações, com foco em um punhado de organizações visadas. O SANS institute tem um exame mais aprofundado do ataque e seu mecanismo.
Um webshell separado, apelidado de SUPERNOVA e considerado pela Microsoft como foram injetados por um invasor diferente, também foram encontrados no Orion, indicando que vários agentes de ameaças perceberam o valor desse tipo de ataque contra o Orion.
Embora o vetor de intrusão que inicialmente levou ao comprometimento do SolarWinds Orion seja atualmente desconhecido, em 2019 um pesquisador de segurança chamado Vinoth Kumar relatou que encontrou credenciais para o servidor de atualização SolarWinds em um repositório público do GitHub, incluindo uma senha incrivelmente insegura de “ Solarwinds123 ”. Embora o malware SUNBURST tenha sido assinado criptograficamente, o que exigiria que o invasor comprometesse sistemas adicionais, essas descobertas são indicativas de que a SolarWinds pode ter tido uma postura de segurança insatisfatória em outras áreas.
Algo como isso pode afetar o WordPress?
Sim. Embora seja improvável que o ataque do SolarWinds em si tenha impacto sobre os sites WordPress, um ataque semelhante pode ser usado contra o WordPress. Em 2016, o desenvolvedor líder do Wordfence Matt Barry notificou o WordPress sobre um possível ataque à cadeia de suprimentos que poderia ter infectado quase um terço da Internet ao comprometer a infraestrutura de atualização do WordPress em api.wordpress.org, que instrui os sites do WordPress onde baixar atualizações automáticas. Graças à nossa divulgação, o problema foi corrigido antes que pudesse ser explorado.
Os ataques à cadeia de suprimentos nem sempre são técnicos. Entre 2013 e 2017, um spammer inescrupuloso conhecido como Mason Soiza conseguiu inserir código malicioso usado para exibir spam e anúncios indesejados em pelo menos 9 plug-ins do WordPress , incluindo alguns com várias centenas de milhares de instalações. Na maioria dos casos, ele comprou o plug-in do autor e incluiu seu próprio código malicioso.
Mais tarde em 2017, vimos a mesma atividade em três plug-ins separados que mudaram de proprietário , onde os novos proprietários incluíram backdoors de injeção de conteúdo nos plug-ins.
Os motivos para um ataque à cadeia de suprimentos do WordPress podem ser diferentes daqueles dos invasores que visam a SolarWinds, mas os mecanismos seriam os mesmos. Embora muitos dos ataques contra o WordPress não sejam sofisticados, a probabilidade de um invasor alvejar um CMS que controla um terço da Internet não deve ser subestimada.
Como os ataques à cadeia de suprimentos podem ser evitados?
É impossível eliminar completamente os ataques à cadeia de abastecimento, mas existem maneiras de mitigar os riscos apresentados por eles. Por exemplo, o WordPress introduziu suporte para atualizações assinadas criptograficamente na versão 5.2, embora o recurso ainda não esteja totalmente em uso. Isso evitaria que o WordPress instale atualizações que não foram assinadas com as chaves corretas.
Embora isso possa proteger contra um invasor assumindo o api.wordpress.org e instruindo sites a baixar atualizações de um servidor não autorizado, não protege contra um invasor assumindo um plug-in legítimo.
Além disso, se um invasor conseguisse obter acesso ao servidor ou às chaves usadas para assinar as atualizações, ele ainda poderia ignorar essa medida. Um dos recursos mais preocupantes do malware SUNBURST foi que os invasores foram capazes de assinar criptograficamente a atualização para que parecesse legítima.
Tal como acontece com outras ameaças, o risco de ataques à cadeia de abastecimento é melhor abordado com uma combinação de controles técnicos e administrativos, incluindo assinatura de código, fazendo uso do princípio do menor privilégio e fortalecimento do sistema, de modo que a violação de um único componente não resulta no comprometimento de um sistema ou rede inteira.
Proteção contra ataques à cadeia de suprimentos
Como usuários de software, detectar e prevenir ataques à cadeia de suprimentos pode ser extremamente difícil. As relações de software e fornecedor são baseadas na confiança. Os usuários de software confiam que o software e os sistemas que suas organizações usam são protegidos, mas os usuários têm pouco controle sobre a segurança ou os processos que desenvolvem e distribuem esse software. Isso é especialmente verdadeiro em modelos de software de código fechado, em que a responsabilidade pela segurança é de uma organização.
Em alguns aspectos, o WordPress é diferente da maioria dos outros softwares no sentido de que há uma rede ativa e comunicativa de desenvolvedores que contribuem para o projeto e investem no sucesso do WordPress. Essa comunidade costuma ser a primeira linha de defesa na detecção e divulgação de problemas para que eles possam ser resolvidos rapidamente.
Em ambos os casos, pode ser difícil proteger uma organização de um ataque à cadeia de suprimentos por meio de um software confiável. Requer atenção, teste e consciência. O WordPress tem o benefício de uma grande comunidade de usuários e desenvolvedores que historicamente compartilham essa responsabilidade.
Embora o ecossistema do WordPress não seja imune a ataques à cadeia de suprimentos, sua natureza de código aberto significa que muitos problemas potenciais podem ser identificados e corrigidos mais rapidamente do que problemas com uma base de código proprietária. De muitas maneiras, o principal desafio em um ecossistema de código aberto é garantir que todos os usuários estejam atualizando para o software corrigido conforme as ameaças surgem e são mitigadas com novos lançamentos.
Conclusão
No artigo de hoje, discutimos o ataque à SolarWinds e os riscos apresentados por ataques à cadeia de suprimentos em geral. Também cobrimos uma vulnerabilidade potencialmente catastrófica da cadeia de suprimentos que foi corrigida no WordPress antes de poder ser explorada, bem como ataques menores à cadeia de suprimentos que foram executados com sucesso contra plug-ins do WordPress. Por fim, examinamos possíveis medidas preventivas, incluindo assinatura de código e envolvimento da comunidade.
Os ataques à cadeia de suprimentos continuarão sendo uma ameaça no futuro próximo. Embora nenhuma estratégia possa evitar ataques à cadeia de suprimentos, uma combinação de práticas recomendadas pode reduzir seu impacto.
Agradecimentos especiais à Diretora de Marketing Kathy Zant por sua ajuda com este artigo.
A postagem SolarWinds e ataques à cadeia de suprimentos: isso poderia acontecer com o WordPress? apareceu primeiro em Wordfence .
