经常谈论的问题之一现代软件是由组件组成的,称为“依赖项”。使用开源软件依赖性构建不仅是一种常见的做法,而且通常构成当今开发的绝大多数软件。
不幸的是,那些从依赖项构建软件的开发人员面临着越来越大的确保组件安全的负担。开发团队必须验证在其组织外部开发的任何软件都没有被恶意软件感染。如果发现问题,他们必须迅速采取行动解决问题。
不关注依赖性意味着增加危险。
|
建了一个属于网络安全从业人士交流群,加微信进群  |
对协作软件的软件供应链攻击
3 月 30 日,当多个消息来源暗示3CX 受到攻击时,再次强调了软件供应链管理的重要性。该公司为大约 600,000 名客户分发适用于所有主要操作系统的软电话工具。这些本机客户端(非 Web 应用程序)使用开源 Electron 框架,Mac 和 Windows 用户均受到影响。
有关攻击起源和结果的具体细节仍在研究中,但我们知道:
-
这是一次软件供应链攻击,这意味着公司从第三方工具构建的东西受到了损害。3CX 特别将其称为“复杂供应链攻击”。 -
3CX 没有立即建议升级,这是发现受损部分时最常见的建议。相反,他们积极建议用户卸载Mac 和 Windows 应用程序并切换到基于不同框架的软件(PWA Web 客户端应用程序)。这很可能是因为他们无法立即找到并删除受感染的二进制文件或代码。
-
这些是技术娴熟的攻击者- 攻击的来源被认为是国家行为者的有效努力,这也是该主题获得如此多关注的部分原因。这次袭击几乎一个月都没有被发现。
-
为实现有针对性的攻击做出了广泛的努力。并非所有使用 3CX 的人都受到影响,只有一些用户可能会被信息盗窃,特别是加密货币公司。最终,3CX 工具和声誉被用来攻击特定的群体或用户。
越来越多的网络攻击中的最新一次
攻击在许多方面都被比较 到2019 年对 SolarWinds 和其他团体的攻击。这包括攻击者的复杂程度以及数字签名如何没有发现问题。正如我们在那次攻击后不久注意到的那样:
“通过攻击 SolarWinds 软件供应链并将其恶意代码与交付给客户的合法、可信代码混合在一起,攻击者能够在下游撒下更大的网。”
这只是针对软件供应链的持续攻击活动中的最新一次。不良行为者专注于感染单个组件的上游目标,然后使用受信任的软件工作流和更新机制将其分发到下游。
准备好了吗?
这次最新的攻击凸显了软件供应链管理对于开发团队和组织的必要性。正如 Sonatype 安全研究员Ax Sharma解释的那样:
“3CX 事件表明,这次被认为是民族国家黑客的老练威胁行为者正在滥用 GitHub 等开源生态系统来托管看似良性的文件。在这种情况下,图标实际上包含恶意软件。回购协议的名称“IconStorages”和文件格式也没有引起明显的危险信号,并且最初已被大多数防病毒产品清除。
“任何向公众开放的系统(即开源)也向对手开放,这就是为什么我们需要新颖的解决方案来保护开源存储库和生态系统,然后它们才能被高级持续威胁参与者用来进行供应链攻击。随着软件供应链攻击在过去三年中增加了 742% ,迫切需要采取严厉行动来扭转局势,打击恶意行为者,例如对 3CX 发起攻击的人。”
编译自:Sonatype 原作者:Luke
思维导图下载:GB-T 39276-2020 网络产品和服务安全通用要求
原文始发于微信公众号(河南等级保护测评):针对3CX的最新软件供应链攻击可能成为第二个SolarWinds
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论