INTRODUCTION

Attaques contre la supply chain : les clés pour bien se protéger

Les attaques contre la supply chain logicielle font de plus en plus de ravages dans le cloud. Mais faute d’une bonne compréhension de leurs modes opératoires, il est difficile, à l’heure actuelle, de déterminer la stratégie de défense adéquate. Pour comprendre les mécanismes de ce fléau émergent, les chercheurs d’Unit 42®, l’équipe de Palo Alto Networks spécialisée dans les menaces cloud, ont analysé les données issues de diverses sources publiques aux quatre coins du globe. Nos experts ont également mené un exercice Red Team à la demande d’un grand fournisseur SaaS qui souhaitait tester la solidité des remparts de son environnement de développement logiciel hébergé dans le cloud. Les résultats de l’étude montrent clairement que la plupart des entreprises sont encore bercées par un sentiment de fausse sécurité.

Fruit d’une analyse minutieuse d’incidents antérieurs, le rapport d’Unit 42 fait la lumière sur l’étendue complète des attaques de la supply chain, tout en dissipant le flou qui entoure leur nature et leurs modes opératoires. Les chercheurs font également le point sur les bonnes pratiques à mettre en œuvre dès aujourd’hui pour améliorer la protection des supply chains dans le cloud.

matt signature Matthew Chiodi
CSO, cloud Palo Alto Networks
Voir la vidéo
Télécharger le rapport
Les attaques de la supply chain ne datent pas d’hier

Si l’attaque majeure perpétrée contre la supply chain logicielle de SolarWinds a été la première à faire les gros titres de la presse internationale, elle était loin d’être un coup d’essai. Depuis longtemps, les chercheurs d’Unit 42 pistent ce type de menaces dont on retrouve les premières traces dès 2015. Petit rappel chronologique...

  • September 2015XcodeGhost: un cybercriminel a diffusé une version du logiciel Xcode d’Apple (utilisé pour développer des applications iOS et macOS) qui injectait du code additionnel dans les applications iOS. L’attaque a compromis des milliers d’applications dans l’App Store®.
  • Mars 2016KeRanger: Transmission, un client BitTorrent open-source très répandu, a été compromis par l’injection d’un ransomware macOS dans son programme d’installation. En téléchargeant et en exécutant ce logiciel, les victimes introduisaient à leur insu un malware capable de paralyser l’accès à leurs fichiers. Les attaquants sont parvenus à injecter le ransomware en prenant le contrôle des serveurs de distribution de Transmission.
  • Juin 2017NotPetya: des cybercriminels ont compromis un éditeur de logiciels ukrainien et diffusé un ver destructeur via une mise à jour du programme « MeDoc ».
    Après avoir infecté les systèmes exécutant ce logiciel, le malware se propageait vers d’autres hôtes du réseau et a fini par contaminer des milliers d’entreprises dans le monde entier.
  • September 2017CCleaner: un groupe cyber a détourné le célèbre outil de nettoyage informatique d’Avast, installé sur des millions d’ordinateurs. Cette compromission a permis de cibler de grandes entreprises dans les secteurs des technologies et des télécommunications à l’aide d’une deuxième vague de payload.

Dans chacun de ces exemples, les auteurs des faits s’en prennent aux pipelines de développement logiciel, et à la confiance qui leur est implicitement accordée, pour obtenir in fine l’accès à d’autres réseaux.

TECHNIQUES DE RECHERCHE
Prise de contrôle de la supply chain : mode d’emploi

Les chercheurs d’Unit 42 se sont glissés dans la peau de développeurs malveillants, le temps d’un exercice Red Team effectué à la demande d’un client de Palo Alto Networks. En partant d’un accès limité à l’environnement d’intégration continue (CI) de l’entreprise, ils ont entamé leur travail de sape visant à étendre leurs privilèges en obtenant des droits administratifs sur l’ensemble de l’infrastructure cloud. À travers cette manœuvre, notre équipe a montré comment un malfaiteur interne pouvait détourner des référentiels CI et débloquer l’accès à des informations sensibles.

  • Les chercheurs d’Unit 42 sont parvenus à télécharger tous les référentiels GitLab à partir de l’emplacement de stockage cloud dédié du client. L’équipe a ainsi pu identifier près de 80 000 ressources cloud individuelles au sein de 154 référentiels CI uniques.
  • Dans ces référentiels, nos experts ont découvert 26 paires de clés IAM codées en dur. Celles-ci leur ont permis d’élever leurs privilèges et d’accéder aux opérations de la supply chain du client.

Supply chain attacks are not a new threat
Short for time? Lire le rapport
PRINCIPALES CONCLUSIONS

Contexte: l’intégration d’AWS GuardDuty à une plateforme de gestion de la posture de sécurité cloud (CSPM) – en l’occurrence Prisma Cloud de Palo Alto Networks – a joué un rôle essentiel dans la détection de l’attaque. Toutefois, puisque seul un compte était correctement configuré pour les opérations de surveillance de cet outil AWS, le SOC n’a pu déceler qu’une infime partie de l’activité malveillante.

Contexte: Il est fréquent pour les outils IaC (Infrastructure as Code) d’emprunter et de réutiliser plusieurs couches de ressources tierces, ce qui tend à multiplier les vulnérabilités de la supply chain. Bien que l’infrastructure déployée dans l’exemple ci-dessous soit parfaitement fonctionnelle, les configurations par défaut des packages dépendants ne sont pas forcément sécurisées. En cas de compromission, les millions d’environnements cloud connectés seraient du même coup vulnérables à des cyberattaques aux effets potentiellement dévastateurs.

IaC security means supply chain security
Lire le rapport
Une bonne visibilité sur la nomenclature est essentielle

Ce rapport souligne la nécessité d’adopter une stratégie « shift left » pour gagner en visibilité sur chaque workload cloud-native. Malgré tout le buzz que suscite la thématique du « shift left », les entreprises continuent de négliger la sécurité DevOps. Cela s’explique en partie par le manque de considération accordée aux menaces qui planent sur la supply chain logicielle.

Demandez votre exemplaire du rapport
Télécharger l’infographie
RAPPORT UNIT 42

Menaces cloud, 2e semestre 2021

Télécharger
PRISMA CLOUD

Découvrez comment Prisma Cloud vous protège contre les menaces dans le cloud.

En savoir plus
Sécurité du cloud : le kit de ressources est à vous !

Alertes de sécurité, évènements consacrés à la sécurité du cloud, nouveautés produits Prisma™ Cloud… recevez toute l’actualité dans votre boîte mail.

Recevez toutes les dernières infos, invitations à des évènements et alertes de sécurité