Gli esperti hanno esortato le organizzazioni a rivalutare il rischio informatico nelle loro catene di fornitura poiché è emerso che centinaia di clienti di una società di revisione del software avevano avuto accesso illegale alle loro reti.
Inizialmente si pensava solo che avesse colpito il fornitore, Codecov con sede a San Francisco, ora si ritiene che l’incidente sia stato un attacco deliberato a tutta la catena di approvvigionamento paragonato per sofisticazione all’operazione SolarWinds.
Gli investigatori hanno detto a Reuters che l’attacco aveva già portato all’accesso a centinaia di reti di clienti. La base di clienti di Codecov di circa 29.000 include molti grandi marchi tecnologici come IBM, Google, GoDaddy e HP, nonché editori (The Washington Post), aziende di beni di consumo (Procter & Gamble) e molti altri.
L’azienda fornisce strumenti che consentono agli sviluppatori di ottenere visibilità su quanto codice sorgente viene eseguito durante i test (copertura del codice appunto), per aiutarli a produrre prodotti più affidabili e sicuri.
Tuttavia, un errore in una delle immagini Docker dell’azienda ha consentito a un attore di minacce di rubare le credenziali e modificare uno script Bash Uploader critico utilizzato dai clienti.
Sebbene l’incidente sia stato scoperto il 1° aprile, Codecov ha affermato che “alterazioni periodiche e non autorizzate del nostro script Bash Uploader da parte di terzi” si erano verificate dal 31 gennaio in poi.
L’azienda ha affermato che ciò ha fornito agli aggressori l’accesso a qualsiasi token o chiave delle credenziali archiviata negli ambienti di integrazione continua (CI) dei clienti e, a sua volta, a qualsiasi servizio, datastore e codice dell’app a cui si accede tramite queste credenziali.
Un investigatore ha detto a Reuters che, prendendo di mira le aziende tecnologiche, gli aggressori avrebbero potuto utilizzare questa tecnica per accedere a migliaia di reti limitate.
Calvin Gan, senior manager dell’Unità di difesa tattica di F-Secure, ha esortato le organizzazioni a trattare i fornitori di terze parti come Codecov come parte della loro organizzazione quando eseguono gli audit di sicurezza e a fare questi audit regolarmente, assicurandosi che tutte le configurazioni siano verificate.
“Comprendi e valuta sempre i rischi associati all’utilizzo di servizi di terze parti come Codecov. Sebbene il servizio offerto sia prezioso, è anche utile rivedere o limitare ciò che viene inviato a questi servizi, soprattutto se contiene credenziali o informazioni sensibili”, ha aggiunto.
“Non è facile, soprattutto se il servizio è di fiducia dell’azienda. Ma soppesare il rischio connesso e disporre di un piano di backup / risposta abbastanza presto sarebbe utile quando vengono scoperte violazioni come questa”.
Stuart Reed, direttore del Regno Unito presso Orange Cyberdefense , ha affermato che il settore della sicurezza dovrebbe concentrarsi meno sui dettagli e più sulla comprensione del quadro più ampio.
“Dobbiamo riconoscere che il panorama della sicurezza è profondamente fluido e dinamico, si rimodella rapidamente e continuamente, e posizionarci per percepirlo e rispondere in modo appropriato. Non dovremmo farci distrarre dall’identità dell’attaccante o dalla speculazione sugli avversari sostenuti dallo stato”, ha detto.
“Attacchi ransomware, botnet, cripto-minatori e simili seguono tutti la stessa filosofia ‘opportunistica’ in cui nessun bersaglio è troppo piccolo o insignificante. Questo è il motivo per cui è fondamentale per un nuovo modo di pensare, allontanarsi da pratiche di sicurezza basate su regole ingenue verso un approccio agile e basato sull’intelligence”.