漏洞是否会带来下一个大型软件供应链攻击事件?
最新消息,软件审计平台遭黑客入侵,该事件可能影响其2.9万名客户,并且引发大量公司连锁数据泄露,造成又一起”供应链“重大安全危机。
[[]]
下游用户面临安全危机
1月31日开始,黑客瞄准,利用的映像创建过程中出现的错误,非法获得了其Bash 脚本的访问权限并且进行了修改。而这意味着攻击者很有可能导出存储在用户的持续集成(CI)环境中的信息,最后将信息发送到基础架构之外的第三方服务器。
严格来说,Bash 脚本被篡改,将导致:
此次事件对于的用户来说无异于无妄之灾。首先,并不是一家公开上市的公司,只有数十名员工,年收入为数百万美元,相比和显得不具备太大的吸引力。因此,可以合理判断攻击者入侵该平台更多是作为供应链攻击的考虑,获取其客户的访问权限对攻击者来说更有价值。
据悉,由于被行业内多家公司用来测试代码错误和漏洞,其客户包括了消费品集团宝洁公司、网络托管公司 Inc、华盛顿邮报和澳大利亚软件公司 PLC等。虽然暂时还没有相关受害者发表声明,但攻击者很可能已经有所”收获“。
入侵持续至少2个月
攻击从1月31日就开始进行,但第一个客户发现不对劲时已经是4月1日,这表示被入侵的软件在长达数月时间里正常流通,潜在受害者无数。
目前,美国联邦调查局正在调查此事,但暂时没有公开对此事进行详细说明。则已经对可能受影响的脚本进行了保护和修复,并且给受影响的用户发了电子邮件。不过暂时没有透露这些用户的信息。
入侵事件的威胁程度或许可以与黑客事件媲美,而相比以往更为频繁的供应链攻击,进一步证明代码审查和签名变得极为重要,而围绕这些代码签名密钥的存储和处置的透明性将是建立对渠道信任的关键一步。
最后,建议所有受影响的用户立即在使用的程序的CI进程中重新回滚其环境变量中的所有凭据、令牌或密钥。
———END———
限 时 特 惠: 本站每日持续更新海量各大内部创业教程,永久会员只需109元,全站资源免费下载 点击查看详情
站 长 微 信: nanadh666
