یک حمله زنجیره تامین منتظر است تا به وقوع بپیوندد. گروهی از پژوهشگران با جستوجو و سپس ثبت مجدد باکتهای رهاشدهی آمازون S3، تنها با هزینهای حدود ۴۰۰ دلار، به یافتههای جالبی رسیدند. این باکتها حاوی کتابخانههای نرمافزاری بودند که همچنان در پروژههای مختلف استفاده میشوند. احتمالاً توسعهدهندگان این پروژهها متوجه نشدهاند که این باکتها رها شدهاند و همچنان از آنها برای دریافت بهروزرسانیها و وصلههای امنیتی استفاده میکنند.
خلاصه ماجرا این است که:
پژوهشگران حدود ۱۵۰ باکت آمازون S3 را شناسایی کردند که قبلاً در نرمافزارهای تجاری و متنباز، زیرساختهای دولتی و فرآیندهای استقرار و بهروزرسانی استفاده میشدند اما رها شده بودند.
پس از شناسایی، آنها این باکتها را ثبت مجدد کردند تا ببینند چه اتفاقی میافتد. با خودشان گفتند:
“چند نفر واقعاً هنوز سعی دارند بهروزرسانیهای نرمافزاری را از باکتهایی دریافت کنند که ماهها یا حتی سالها پیش رها شدهاند؟”
نتیجه چه شد؟
در عرض دو ماه، این باکتها هشت میلیون درخواست دریافت کردند!
اگر این یک حمله واقعی بود چه اتفاقی میافتاد؟
مهاجمان میتوانستند کدهای درون این باکتها را دستکاری کرده و آلوده به بدافزار کنند. سپس، این تغییرات بهصورت ناخواسته در نرمافزارهای مختلف در سراسر اینترنت توزیع میشد.
این حمله را میتوان نسخهای گستردهتر از حملهی SolarWinds دانست!
بُعد دوم این تهدید
مشکل فقط این نیست که مهاجمان میتوانند کدهای مخرب را جایگزین کنند.
بلکه از آنجایی که این باکتها دیگر در اختیار توسعهدهندگان اصلی نیستند، آنها دیگر نمیتوانند وصلههای امنیتی منتشر کنند تا کاربران را در برابر حمله محافظت کنند!
بدتر از آن، در بسیاری از موارد، از دست دادن این باکتها باعث میشود که حتی شرکتهای اصلی هم نتوانند نرمافزارهای آسیبپذیر را شناسایی کنند، و در نتیجه امکان هشدار دادن به کاربران در معرض خطر را هم از دست میدهند.
نتیجهگیری
امنیت زنجیره تأمین نرمافزار در وضعیت فاجعهباری قرار دارد!
اصلاح این مشکل نه آسان است و نه ارزان—و همین یعنی احتمالاً کسی هم آن را حل نخواهد کرد.
و این فاجعهی بزرگتری است!
اطلاعات بیشتر: https://labs.watchtowr.com/8-million-requests-later-we-made-the-solarwinds-supply-chain-attack-look-amateur/
