Letzte Woche wurde in einem kritischen Teil des DevOps-Ökosystems eine besorgniserregende Intrusion festgestellt: die offiziellen Bilder des Docker-Repositorys Checkmarx / kics wurden von unbekannten Schauspielern manipuliert. Obwohl die Forschung noch in Gang ist, zeigen die verfügbaren Informationen, dass bestehende Etiketten überschrieben wurden und dass ein Etikett hinzugefügt wurde, das nicht einer legitimen Version entspricht, die vom Projekt verteilt wurde. Dadurch könnten Teams, die diesen Bildern vertrauten, die Infrastruktur als Code zu analysieren, sensible Geheimnisse und Konfigurationen ausgesetzt haben.
Das Problem war nicht nur eine kosmetische Veränderung im Bild.: Die mit dem KICS-Tool enthaltene Binärdatei wurde geändert, um Datenerfassungs- und Exfiltrationsfunktionen zu integrieren. Laut der technischen Analyse, die veröffentlicht wurde, konnte das kompromittierte Dienstprogramm einen Scanbericht erstellen, der unzensierte Daten, Verschlüsselung und Senden an einen von den Angreifern kontrollierten Remoteserver enthielt. Dies macht echtes Risiko jede Datei von Terraform, CloudFormation oder Kubernetes manifestiert, die Anmeldeinformationen oder sensible Variablen enthält, die durch diese manipulierte Version weitergegeben wurden.
Darüber hinaus hat die Untersuchung Beweise dafür gefunden, dass die Auswirkungen auf andere offizielle Vertriebskanäle desselben Herstellers ausgedehnt werden konnten. Konkrete Versionen einer Erweiterung von Microsoft Visual Studio Code, die schädliches Verhalten aufgenommen wurde, wurden angemerkt: Sie heruntergeladen und Remote-Code über die Laufzeit Bun mit einer URL auf dem Code gesetzt, ohne den Benutzer für die Bestätigung oder Überprüfung der Integrität der heruntergeladenen Inhalte. Dies verstärkt die Hypothese, dass es kein einziges, engagiertes Bild ist, sondern eine breitere Kampagne gegen die Lieferkette.
Was sollten die beteiligten Organisationen davon ausgehen? In der Praxis sollte jedes Geheimnis, das durch diese Scans war, als möglicherweise kompromittiert betrachtet werden. Die Exfiltration von Analyseberichten mit ungefilterten Daten bedeutet, dass in IAC-Vorlagen verwendete temporäre Anmeldeinformationen, Serviceschlüssel oder Umgebungsvariablen in den Händen von Angreifern sein könnten. Die unmittelbare und vorrangige Aktion besteht daher darin, die größtmögliche Möglichkeit einzunehmen und entsprechend zu handeln.
Die dringenden Maßnahmen umfassen die Einstellung der Verwendung von verdächtigen Bildern und die Überprüfung von Pipelines und Aufzeichnungen auf der Suche nach anormaler Aktivität, rotierende Anmeldeinformationen und Geheimnisse, die möglicherweise ausgesetzt wurden, und die Durchführung einer forensischen Bewertung der Systeme, die solche Bilder oder betroffenen Erweiterungen ausgeführt. Es wird auch empfohlen, Bilder und Binäre aus verifizierten Quellen wiederherzustellen und gegebenenfalls Unterschriften oder Prüfsummen vor der Bereitstellung zu validieren.
Wenn Sie nach Ressourcen und bewährten Praktiken suchen, um diese Art von Vorfall zu behandeln und die Verteidigung gegen die Handhabung in der Lieferkette zu stärken, gibt es Dokumentationen und öffentliche Referenzführer. Einrichtungen wie die US-Infrastruktur- und Cybersicherheitsagentur. Vereinigte Staaten (CISA) erhebt Mitteilungen und Empfehlungen zu Lieferkettenverpflichtungen ( http://www.cisa.gov), und Projekte wie SLSA bieten einen Rahmen zur Stärkung der Integrität von Artefakten und Bauprozessen ( https: / / slsa.dev) GitHub unterhält auch Ressourcen zum Schutz von Software-Versorgungsflüssen ( GitHub Lieferkettensicherheitsführer)
Auf der praktischen Ebene des Tages zu überprüfen, welche genauen Versionen in den CI / CD-Umgebungen verwendet wurden, Netzwerkprotokolle für ausgehende Übertragungen von der Scanarbeit zu überprüfen und IDE-Erweiterungen, die in Arbeitsstationen und Baustellen installiert sind, zu prüfen. Wenn Erweiterungen mit verdächtigem Verhalten identifiziert werden, ist es ratsam, diese Erweiterungen zu entfernen und Umgebungen aus bekannten und verifizierten Zuständen wiederherzustellen. Um das zukünftige Risiko zu reduzieren, helfen die Annahme von signierten Bildern, unkontrollierte externe Blockierungspolitiken und restriktivere Zugangskontrollen in Pipelines, die Möglichkeit eines einzigen verübten Bildes zu einer größeren Lücke zu führen.
Der Vorfall erhebt auch eine breitere Reflexion über das Vertrauen, das wir in fremde Artefakte setzen. Werkzeuge, die mit Berechtigungen zur Inspektion von Infrastruktur und Konfigurationen laufen, verdienen eine besondere Behandlung, weil sie durch ihre eigene Funktion Geheimnisse verarbeiten können. Implementieren Praktiken wie lokales Scannen mit verifizierten Binaries, die Verwendung von isolierten Umgebungen (Sandboxing) für die automatisierte Analyse und die Segmentierung von Anmeldeinformationen in Testumgebungen können die Auswirkungen reduzieren, wenn ein Werkzeug beeinträchtigt wird.
Schließlich ist es wichtig, der offiziellen Kommunikation des Lieferanten und der Bildregistrierer zu folgen. In solchen Fällen können Wartungs- und Repositories häufig defekte Geräte einreichen oder entfernen und Rückgewinnungsanweisungen ausstellen. Es ist auch angebracht, über spezialisierte Mittel und Sicherheitshinweise informiert zu werden, um die betroffenen Versionen, die veröffentlichten Korrekturen und die Verpflichtungsindikatoren (IOCs) zu kennen, die die Suche nach Spuren in den Systemen ermöglichen. Sie können die Seite des betroffenen Repositorys in Docker Hub für den Status des Repository überprüfen https: / / hub.docker.com / r / checkmarx / kics und die offizielle Website des Lieferanten für Kommunikation oder Patches konsultieren https: / //checkmarci.com.
Diese Art von Vorfall erinnert daran, dass die moderne Sicherheit nicht nur von einem bestimmten Werkzeug abhängt, sondern dass die gesamte Kette, die ein Artefakt vom Entwickler zur Produktion trägt, verwaltet wird. Verändern Sie Geheimnisse, überprüfen Sie die Quelle von Bildern und Binaries, und halten Sie einen aktualisierten Antwortplan Sie sind nicht mehr gute Praktiken, um operative Verpflichtungen zu werden, wenn wir Schäden minimieren wollen, wenn etwas in der Lieferkette versagt.
Wenn Sie wollen, kann ich Ihnen helfen, eine Liste von bestimmten Kontrollen zu schreiben, um sich auf Ihre CI / CD-Pipeline zu bewerben, oder eine technische Nachricht für Ihr Team vorzubereiten, indem Sie die sofortigen Schritte zu folgen und wie Sie nach Zeichen des Engagements in Log und Repository suchen.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...