Een beveiligingsonderzoeker heeft een kwetsbaarheid gevonden waarmee hij code kon draaien in interne systemen van grote tech-bedrijven. Het lukte hem om in te breken bij bedrijven als Microsoft, Netflix, PayPal en Tesla. Ethisch hacker Alex Birsan slaagde hierin door malware te uploaden naar opensource repositories als PyPI, npm en RubyGems. Deze platformen zorgden vervolgens voor verdere verspreiding van de malware.
Voor de supply chain aanval was er geen actie nodig vanuit het slachtoffer. Ze ontvingen de kwaadaardige code automatisch via een designfout in hun opensource ecosystemen. Birsan begon met het uploaden van kwaadaardige code naar npm en keek vervolgens hoe ver hij kon komen.
“Om een balans te vinden tussen de mogelijkheid om een organisatie te identificeren gebaseerd op de data en tegelijkertijd niet te veel gevoelige informatie te verzamelen, legde ik alleen de gebruikersnaam, hostnaam en het huidige pad van elke unieke installatie vast”, legde Birsan uit. Samen met de externe IP-adressen was dat precies genoeg informatie om beveiligingsteams te helpen mogelijke kwetsbare systemen te identificeren.
Gebruik van opensource repositories is niet zonder risico
In een whitepaper waarschuwt Microsoft over de risico’s van aanvallen via opensource repositories. “Veel klanten gebruiken een hybride configuratie waarbij ze interne pakketten opslaan op een besloten feed, maar waarbij afhankelijkheden van een openbare feed kunnen worden gehaald”, schrijft Microsoft. Door deze instellingen worden nieuwe uitgaves van pakketten automatisch toegepast.
Klanten kijken zowel in hun privé feed als de openbare feed om te zien wat de best beschikbare versies zijn van de benodigde pakketten. Door deze manier van werken, lopen bedrijven het risico om kwaadaardige code te installeren en slachtoffer te worden van een supply chain aanval.
Moeilijke afweging voor bedrijven
Volgens Craig Young, beveiligingsonderzoeker bij cybersecurity bedrijf Tripwire, heerst er een serieus probleem binnen de sector. “Organisaties moeten constant afwegen of ze elk wiel opnieuw uitvinden, een dure licentieovereenkomst aangaan of opensource software gebruiken”, legt Young uit.
Het omarmen van opensource helpt menig bedrijf om te floreren en tegelijkertijd de kosten laag te houden. In de ideale situatie zijn software ontwikkeling bedrijven op de hoogte van elke verandering die plaatsvindt binnen extern opgeslagen software. Maar in de realiteit is het vrijwel onmogelijk.
Het analyseren van duizenden regels code doet de kostenbesparingen van opensource teniet. “Wanneer software ontwikkelingsbedrijven hun medewerkers toestaan om code en modules van publieke repositories te downloaden, stellen ze zichzelf bloot aan zowel beveiligings- als juridische risico’s.”