Angriffe auf die Software-Lieferkette: Angriffsvektoren, Beispiele und 6 Abwehrmaßnahmen

Was sind Software-Supply-Chain-Angriffe?

Angriffe auf die Software-Lieferkette zielen auf die weniger sicheren Elemente eines Software-Liefernetzwerks ab. Diese Angriffe nutzen das Vertrauen zwischen Lieferanten und Kunden aus, um Software oder Hardware zu kompromittieren, bevor sie den Endbenutzer erreicht. Durch das Eindringen in jede beliebige Phase der Lieferkette verschaffen sich Angreifer unbefugten Zugriff auf sensible Systeme oder Daten.

Die Komplexität und Vernetzung von Software-Lieferketten machen sie zu attraktiven Zielen. Da Unternehmen für verschiedene Komponenten und Dienste oft auf Drittanbieter angewiesen sind, steigt das Angriffspotenzial. Diese Angriffe können weitreichende Folgen haben und mehrere Unternehmen in der Lieferkette betreffen.

Empfohlene Lektüre: 4 Arten von Cyber-Bedrohungsintelligenz und ihre effektive Nutzung.

Wie funktioniert ein Software-Supply-Chain-Angriff?

Ein Angreifer identifiziert zunächst Schwachstellen in der Lieferkette. Dies könnte bedeuten, einen Drittanbieter mit weniger strengen Sicherheitsmaßnahmen ins Visier zu nehmen. Sobald ein schwaches Glied kompromittiert ist, kann der Angreifer Schadcode in die Software oder Hardware einschleusen, die dem Endbenutzer geliefert wird.

Das verunreinigte Produkt, das legitim erscheint, durchläuft die Lieferkette und wird in der Infrastruktur des Ziels eingesetzt. Bis die Kompromittierung entdeckt wird, hat der Angreifer möglicherweise bereits seine Ziele erreicht, darunter Datendiebstahl, Systemstörungen oder die Vorbereitung zukünftiger Angriffe.

Angriffsvektoren bei Angriffen auf die Software-Lieferkette

Angreifer können die folgenden Schwachstellen ausnutzen, um die Software-Lieferkette anzugreifen.

Kompromittierte Abhängigkeiten

Abhängigkeiten von Drittanbietern sind in der Softwareentwicklung weit verbreitet, bergen aber auch Risiken. Wird eine Abhängigkeit kompromittiert, kann jede darauf basierende Software Schwachstellen aufweisen. Angreifer können dies ausnutzen, indem sie Schadcode in eine weit verbreitete Bibliothek oder Komponente einfügen.

Die Überwachung von Abhängigkeiten auf bekannte Schwachstellen ist eine Herausforderung, insbesondere bei einem umfangreichen Software-Ökosystem. Angreifer verlassen sich auf die Übersicht in diesen Bereichen, um ihre Malware effektiv über mehrere Systeme zu verbreiten. Überprüfen Sie stets die Software Bill of Materials (SBOM) und stellen Sie sicher, dass Sie in Ihrem Risikoregister eine Liste sekundärer Abhängigkeiten haben, um öffentlich bekannt gegebene Schwachstellen und Patches zu verfolgen.

Schwachstellen in CI/CD-Pipelines

Continuous Integration/Continuous Deployment (CI/CD)-Pipelines automatisieren die Softwarebereitstellung, können aber auch Schwachstellen darstellen. Erlangt ein Angreifer Zugriff auf die CI/CD-Pipeline, kann er die bereitgestellte Software verändern und Schadsoftware direkt in das Produkt einschleusen.

Die Sicherung von CI/CD-Pipelines erfordert robuste Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen, um Schwachstellen zu identifizieren und zu beheben. Andernfalls kann es zur Verbreitung kompromittierter Software kommen, die zahlreiche Benutzer betrifft.

Insider-Bedrohungen

Insider-Bedrohungen gehen von Mitarbeitern oder Partnern aus, die ihren Zugriff für böswillige Zwecke missbrauchen. Durch die Ausnutzung ihres vertrauenswürdigen Status können Insider Sicherheitslücken oder Schadcode einführen, ohne dass dies sofort erkannt wird.

Die Eindämmung von Insider-Bedrohungen erfordert ein umfassendes Zugriffsmanagement, kontinuierliche Überwachung und die Durchsetzung des Prinzips der geringsten Privilegien. Dennoch bleibt der menschliche Faktor ein schwieriges Element, das nicht vollständig kontrolliert werden kann.

Man-in-the-Middle-Angriffe (MitM)

Bei einem MitM-Angriff fangen Angreifer legitime Kommunikation zwischen zwei Parteien ab. In einer Software-Lieferkette kann dies beispielsweise die Manipulation von Code während der Übertragung oder das Abfangen von Systemupdates und deren Ersetzung durch schädliche Versionen beinhalten.

Zu den vorbeugenden Maßnahmen zählen Verschlüsselung, sichere Übertragungsprotokolle und Integritätsprüfungen. Dennoch ist Wachsamkeit geboten, da Angreifer ständig neue Methoden entwickeln, um die Kommunikation abzufangen oder zu stören.

Verwandte Inhalte: Lesen Sie unseren Leitfaden zurBedrohungssuche

Beispiele für aktuelle Angriffe auf die Lieferkette

Hier sind einige Beispiele für spektakuläre Angriffe auf die Software-Lieferkette.

Okta-Lieferkettenangriff

Im Oktober 2023 meldete Okta, ein bekannter Anbieter von Identitäts- und Authentifizierungsmanagementdiensten, eine Sicherheitsverletzung, bei der sich Angreifer Zugriff auf private Kundendaten verschafften. Der Verstoß erfolgte über kompromittierte Anmeldeinformationen für das Kundensupport-Managementsystem von Okta und ermöglichte so unbefugten Zugriff auf Dateien, die bestimmte Kunden in aktuellen Supportfällen hochgeladen hatten.

Dieser Vorfall unterstrich, dass Okta aufgrund seines umfassenden Zugriffs und seiner sensiblen Funktionen ein Hauptziel für Bedrohungsakteure ist, und gab Anlass zur Sorge hinsichtlich der weitreichenderen Auswirkungen auf die Kunden von Okta entlang der Lieferkette.

Angriff auf die Lieferkette von JetBrains

Angreifer nutzten eine erhebliche Sicherheitslücke in den TeamCity-Servern von JetBrains, die häufig für Continuous Integration/Continuous Deployment (CI/CD) eingesetzt werden, aus und ermöglichten damit potenziell Angriffe auf die Lieferkette. Regierungsvertreter warnten vor der Ausnutzung dieser kritischen Sicherheitslücke zur Umgehung der Authentifizierung durch den russischen Bedrohungsakteur Cozy Bear, der mit dem russischen Auslandsgeheimdienst (SVR) in Verbindung steht.

Dieser Fehler ermöglichte es nicht authentifizierten Angreifern mit HTTP(S)-Zugriff, Remotecode auszuführen und administrative Kontrolle über die betroffenen Server zu erlangen. Die weit verbreitete Nutzung von TeamCity-Servern durch große Softwareunternehmen erhöhte das Risiko weitreichender Auswirkungen.

MOVEit-Lieferkettenangriff

Der MOVEit-Lieferkettenangriff zielte auf Benutzer von MOVEit Transfer, einem Tool zur sicheren Übertragung vertraulicher Dateien, und betraf über 620 Organisationen, darunter so bekannte Namen wie die BBC, British Airways und Aer Lingus. Personenbezogene Daten (PII) wurden kompromittiert, darunter Adressen und Ausweise von Mitarbeitern.

Die Ransomware-Gruppe Cl0p wurde mit diesem Angriff in Verbindung gebracht und nutzte kritische Schwachstellen aus, um erheblichen Schaden anzurichten. Dieser Angriff verdeutlichte die enorme Reichweite und die schwerwiegenden Folgen von Angriffen auf die Lieferkette für die Sicherheit und Privatsphäre zahlreicher Personen.

3CX Supply Chain-Angriff

Der Angriff auf die 3CX-Lieferkette zielte auf die Software-Lieferkette von 3CX, einem VoIP-Desktop-Client, ab. Dabei wurden böswillig veränderte Versionen der Software verbreitet. Diese manipulierten Versionen enthielten eine schädliche Bibliotheksdatei, die verschlüsselte Dateien mit Befehls- und Steuerungsanweisungen ausführte und herunterlud.

Bemerkenswert ist, dass die schädlichen Apps mit gültigen 3CX-Zertifikaten signiert und von den offiziellen 3CX-Servern aus verbreitet wurden. Dies deutet auf eine Kompromittierung der Build-Umgebung des Unternehmens hin. Dieser Angriff war besonders besorgniserregend, da die kompromittierte Software legitim war und sich daher nur schwer erkennen und verhindern ließ.

6 Möglichkeiten zur Verhinderung von Angriffen auf die Software-Lieferkette

Hier sind einige wichtige Maßnahmen zum Schutz der Software-Lieferkette.

1. Sichern Sie die Entwicklungsumgebung

Die Gewährleistung der Sicherheit der Entwicklungsumgebung ist für den Schutz vor Angriffen auf die Lieferkette von grundlegender Bedeutung. Dazu gehört die Beschränkung des Zugriffs auf Entwicklungstools und -ressourcen auf autorisiertes Personal, der Einsatz starker Authentifizierungsmethoden und die Verschlüsselung sensibler Daten im Ruhezustand und während der Übertragung. Regelmäßige Updates und Patches für Entwicklungstools und -umgebungen können zudem die Ausnutzung bekannter Schwachstellen verhindern.

2. Sichern Sie die Build-Pipeline

Die Sicherung der Build-Pipeline ist unerlässlich, um unbefugte Softwareänderungen während des Build-Prozesses zu verhindern. Die Implementierung strenger Zugriffskontrollen, Audit-Tools und Prozesse innerhalb der CI/CD-Pipeline kann dazu beitragen, unbefugte Änderungen zu erkennen und zu verhindern. Darüber hinaus können das Signieren von Softwareartefakten und die Verwendung reproduzierbarer Builds die Integrität und Authentizität der bereitgestellten Software sicherstellen. Regelmäßige Sicherheitsbewertungen der Build-Pipeline können zudem potenzielle Schwachstellen identifizieren und beheben.

3. Prüfen Sie Komponenten von Drittanbietern

Vor der Integration von Drittanbieterkomponenten in Softwareprojekte ist eine gründliche Sicherheitsbewertung unerlässlich. Dieser Überprüfungsprozess umfasst die Überprüfung der Sicherheitslage des Drittanbieters, die Überprüfung der Komponente auf bekannte Schwachstellen und die Kenntnis der Update- und Patch-Management-Prozesse der Komponente. Die Einführung eines Protokolls zur regelmäßigen Überprüfung und Aktualisierung von Drittanbieterkomponenten kann dazu beitragen, Risiken im Zusammenhang mit im Laufe der Zeit auftretenden Schwachstellen zu minimieren.

4. Nutzen Sie Tools zur Software Composition Analysis (SCA)

Tools zur Software Composition Analysis (SCA) bieten eine umfassende Analyse der in der Entwicklung verwendeten Softwarekomponenten, einschließlich Open-Source-Bibliotheken, Frameworks und anderer Komponenten von Drittanbietern. Diese Tools scannen die Codebasis der Software, um jede Komponente und ihre Version zu identifizieren und zu katalogisieren und mit Schwachstellendatenbanken abzugleichen. Die meisten SCA-Tools bieten auch Anleitungen zur Behebung identifizierter Schwachstellen.

5. Implementieren Sie eine Software-Stückliste (SBOM)

Eine SBOM bietet eine umfassende Bestandsaufnahme aller in der Software verwendeten Komponenten, einschließlich Open-Source- und proprietärer Elemente. Die Implementierung einer SBOM hilft Unternehmen, die Komponenten ihrer Software zu verstehen und Schwachstellen leichter zu identifizieren und zu beheben. Durch die Pflege einer genauen und aktuellen SBOM können Unternehmen die Auswirkungen identifizierter Schwachstellen schnell einschätzen und die Behebung beschleunigen.

6. Nutzen Sie Security Information and Event Management (SIEM)

SIEM-Systeme (Security Information and Event Management) aggregieren und analysieren Protokoll- und Ereignisdaten aus der gesamten Software-Lieferkette, um Sicherheitsvorfälle zu erkennen und darauf zu reagieren. Durch Echtzeit-Einblicke in die Systemaktivitäten helfen SIEM-Systeme, ungewöhnliches Verhalten zu erkennen, das auf einen Angriff auf die Lieferkette hindeuten kann. Die Implementierung von SIEM-Lösungen und die Einrichtung geeigneter Warnmechanismen können die Fähigkeit eines Unternehmens verbessern, Angriffe schneller und effektiver zu erkennen und darauf zu reagieren.

Exabeam-Plattformfunktionen: SIEM, UEBA, SOAR, Insider-Bedrohungen, Compliance, TDIR

Die Exabeam Security Operations Platform wendet KI und Automatisierung auf Sicherheitsbetriebsabläufe an, um einen ganzheitlichen Ansatz zur Bekämpfung von Cyberbedrohungen für Ihre Software-Lieferkette zu entwickeln und die effektivste Bedrohungserkennung, -untersuchung und -reaktion (TDIR) zu ermöglichen:

• KI-gesteuerte Erkennungen identifizieren Bedrohungen mit hohem Risiko, indem sie das normale Verhalten von Benutzern, Dienstkonten und Geräten erlernen und Bedrohungen mit kontextbezogener Risikobewertung priorisieren.
• Automatisierte Untersuchungen vereinfachen Sicherheitsvorgänge, indem sie unterschiedliche Daten korrelieren, um Bedrohungszeitleisten zu erstellen.
• Playbooks dokumentieren Arbeitsabläufe und standardisieren Aktivitäten, um Untersuchungen und Reaktionen zu beschleunigen.
• Vorlagen für Korrelationsregeln zum Anpassen und Priorisieren von Vorfällen, die Ihre Code-Repositories, Verzeichnisdienstangriffe und mehr betreffen.
• Visualisierungen stellen die Abdeckung den strategisch wichtigsten Ergebnissen und Rahmenbedingungen gegenüber, um Daten- und Erkennungslücken zu schließen.

Mit diesen Funktionen ermöglicht Exabeam Sicherheitsteams, schnellere, genauere und konsistentere TDIR zu erreichen.