供應鏈威脅和漏洞

什麼是供應鏈攻擊?

供應鏈攻擊是透過第三方供應商或供應商的整合元件向供應鏈系統注入惡意有效載荷來策劃的。由於現代雲原生應用程式的鬆散耦合特性，以及公眾對網路威脅的認識不足，近年來，具有高度影響力的供應鏈攻擊有所增加。供應鏈攻擊也被稱為價值鏈或第三方攻擊，針對的是含有已知漏洞的商業、現成解決方案和開源元件。它的影響範圍從無害的漏洞利用到供應鏈的完全破壞。

供應鏈攻擊通常分為：

基於硬體：不安全的硬體配置用於託管應用程式並將其連線到使用者。其中可能包括預裝惡意軟體的裝置以及可公開訪問的網路裝置等。這些攻擊旨在在部署階段的初始階段感染小工具，並進一步利用這些小工具進進行更深層次的、全網路範圍的攻擊。

基於軟體：這些攻擊會在原始碼、作業系統、庫以及應用程式中使用的幾乎所有其他軟體中增加缺陷。這些軟體元件內部的固有漏洞會被進一步濫用，注入惡意軟體和惡意程式碼，從而中斷整個供應鏈。

基於韌體：這些供應鏈攻擊是透過將惡意程式碼注入裝置的啟動程式碼來發起的。儘管韌體供應鏈攻擊執行速度快且難以檢測，但基於韌體的攻擊是網路犯罪分子針對供應鏈系統最廣泛濫用的技術之一。

供應鏈攻擊案例

太陽風供應鏈攻擊

SolarWinds駭客攻擊是針對SolarWindsOrion軟體訪問聯邦政府機構和私營公司網路的全球供應鏈攻擊。這次攻擊是透過劫持Orion的應用程式編譯過程來策劃的，目的是在有效的，數字簽名的Orion更新中放置一個後門。這些格式錯誤的更新作為木馬安裝包傳送到客戶端計算機幾個月，但未被檢測到。SolarWinds駭客攻擊被認為是最近最具影響力的供應鏈攻擊之一，它提高了組織對安全風險的認識，並引發了各個實體之間的合作，以應對不斷上升的網路犯罪。

Kaseya VSA供應鏈勒索軟體攻擊

2021年7月，Kaseya發現其VSA管理的服務程式受到了活躍的勒索軟體攻擊。VSA是Kaseya的雲服務套件，它可以促進更新和安全補丁。此次攻擊是由REvil實施的該組織利用一個已知的0 day漏洞進入了Kaseya系統，該組織仍在試圖修復該漏洞。這次攻擊導致60個直接客戶資料洩露，1500家企業受到影響，駭客要求支付7000萬美元的贖金才能解鎖受影響的裝置。雖然幾家受影響的公司能夠使用備份恢復他們的系統，但其他公司提出支付個人贖金，金額在4萬至22萬美元之間。攻擊發生一週後，Kaseya聲稱已經獲得了進一步提供給受影響客戶的主解密金鑰。

Target資料洩露

2013年7月，Target 遭遇資料洩露，攻擊者訪問了近7000萬使用者賬戶和4000萬條支付卡記錄。這次攻擊是透過第三方供應商洩露的證書惡意滲透Target 公司的網路發起的。這些憑證進一步被用來利用Target基礎設施中的其他漏洞訪問使用者資料庫，並安裝惡意軟體，暴露客戶記錄，包括使用者的姓名、聯絡方式、卡號、驗證碼和其他敏感資訊。

Target花了大約兩週的時間來檢測和識別漏洞。這次攻擊對Target百貨公司造成了巨大的經濟影響，這家零售巨頭向受影響的使用者支付了1850萬美元。Target還遭受了收入損失，在襲擊發生後的幾個月裡銷售額下降了46%。在這次攻擊之後，該公司聲稱提高了反擊網路攻擊的能力，併發行了安全的晶片-pin卡，以降低卡被利用的可能性。

供應鏈攻擊使用者洩漏的影響

在現代應用程式交付中，軟體元件的可重用性擴充套件了可以在攻擊序列中重複利用的攻擊面。因為利用一個元件的缺陷就開啟了濫用整個供應鏈的大門。供應鏈攻擊的影響包括:

惡意軟體感染：攻擊者依靠第三方軟體漏洞嚮應用程式開發管道中注入惡意程式碼和程式。攻擊的效果最終取決於惡意軟體的複雜程度和目標系統承載的資料。

資料洩露和受損：惡意行為者依靠供應鏈漏洞將資料洩露工具安裝到軟體開發管道中。透過滲透工具傳遞的任何資訊(包括使用者和系統級資料)都將傳送到攻擊者控制的主機。

財務損失：針對電子商務系統、支付卡供應商和零售店的供應鏈攻擊通常會導致身份欺詐造成的直接財務損失。由於供應鏈攻擊而遭受資料洩露的組織也會受到監管機構的鉅額處罰，並最終導致聲譽受損。

管理供應鏈風險和脆弱性

由於第三方供應商系統的供應鏈漏洞，它們通常難以控制。根據易受攻擊的工作負載型別及其直接整合的元件，減輕基於此類漏洞的攻擊有不同組合的解決方法。

識別供應鏈漏洞的方法

儘管不同的情況需要專門的方法來適應其部署框架，但這裡有兩種常用的方法來識別供應鏈漏洞:

持續漏洞掃描

開發人員和安全團隊需要協作實施自動化、持續的安全漏洞掃描，如 靜態程式碼安全檢測、動態測試及軟體元件分析等，以檢測整個供應鏈中的潛在缺陷。持續的掃描過程有助於識別存在漏洞利用風險的元件，包括原始碼、程式和服務。高階供應鏈漏洞評估應生成部署中使用的所有元件的記錄，包括元件級威脅，以及所有第三方軟體的漏洞評級。

滲透測試

在識別第三方安全風險之後，開發人員和QA團隊應該測試每個漏洞，以模擬惡意行為者可能執行的最可能的攻擊序列。團隊還應為道德駭客和滲透測試建立一個虛擬資料和功能的蜜罐。這些蜜罐可以進一步與端點檢測解決方案相結合，以確保可觀察性和易受攻擊端點的檢測。全面滲透測試有助於模擬攻擊模式，同時提供關於惡意行為者如何利用供應鏈風險成功利用的有效資訊。

來源：

https://crashtest-security.com/supply-chain-attack/