Open Source Software – wie stabil bleibt die Software Supply Chain?
Immer mehr Entwicklungsprojekte beinhalten Open-Source-Komponenten – gerade in der Cloud, in der es darum geht, schnell getaktet neue Funktionen und Releases live zu setzen. Das erfordert Effizienz auf Seiten der Entwickler. Da fällt eine Prüfung, welche Abhängigkeiten entstehen und ob das Gesamtkonstrukt möglicherweise Schwachstellen aufweist, schon mal gern aus. Doch Hacker lauern nur auf solche Lücken in der Software Supply Chain, um ihre Malware einzuschleusen.
Welch fatale Folgen Lücken in der Software Supply Chain nach sich ziehen können, haben die Hacks von Solarwinds und Kaseya im vergangenen Jahr gezeigt. Dabei manipulieren die Cyberkriminellen Software-Bibliotheken oder andere Code-Komponenten, die im Rahmen des Entwicklungsprozesses verwendet werden. Die so eingeschleusten Schwachstellen nutzen sie später, um Unternehmen anzugreifen und mit Malware zu kompromittieren.
Die Perfidie dabei: Mit der Supply-Chain-Methode skalieren die Attacken, denn die befallene Software wird von hunderten wenn nicht gar tausenden Unternehmen eingesetzt. Das maximiert den Schaden und erhöht die Profite der
Cyberbanden. Problematisch wird es auch, wenn Code kompromittiert wird, der für den Aufbau von Cloud-Infrastrukturen verwendet wird. Verlagern Unternehmen immer mehr Ressourcen in die Cloud, können an vielen Stellen die Sicherheitsrisiken zunehmen.
Open Source Software kann ein schwaches Sicherheitsglied in der Software Supply Chain sein. Hacker würden quelloffene Komponenten häufiger ins Visier nehmen, berichten die Verantwortlichen von Sonatype, einem Anbieter einer Plattform für das Software Supply Chain Management. Laut der Studie „2021 State of the Software Supply Chain“haben die Angriffe auf Open-Source-Anbieter exponentiell zugenommen. Im vergangenen Jahr habe man weltweit 650 Prozent mehr Angriffe auf Software-Lieferketten verzeichnet, die auf die Ausnutzung von Schwachstellen in vorgelagerten Open-SourceÖkosystemen abzielten.
Dass Hacker verstärkt Open-Source-Komponenten attackieren, hat auch damit zu tun, dass Angebot und Nachfrage derzeit massiv zunehmen. Sonatype zufolge haben allein die vier größten Open-Source-Ökosysteme im vergangenen Jahr zusammen über 6,3 Millionen neue Versionen veröffentlicht und mehr als 700.000 neue Projekte eingeführt. Insgesamt kämen diese Communities auf fast 37,5 Millionen verschiedene Versionen – ein Plus von 20 Prozent gegenüber dem Vorjahr.
Auch die Nachfrage explodiert regelrecht. Die wachsenden Anforderungen nach immer schnellerer Innovation zwinge Entwickler dazu,
ihren Code möglichst häufig und effizient wiederzuverwenden. Das habe zu einer starken Abhängigkeit von OSS-Bibliotheken geführt, die aus Drittanbieter-Bibliotheken stammen, konstatieren die Verantwortlichen von Sonatype. Entwickler hätten 2021 weltweit über 2,2 Billionen Open-Source-Pakete aus den vier führenden Ökosystemen heruntergeladen. Damit sei die Nachfrage im Vergleich zu 2020 um 73 Prozent gewachsen.
Methoden werden immer bösartiger
Diese Entwicklung hat allerdings auch eine Schattenseite. In den über 37 Millionen Projektversionen lauere ein „Minenfeld an bekannten und unbekannten Sicherheitsrisiken“, heißt es im Sonatype-Report. Dabei gehen die Hacker gezielt vor und konzentrieren sich darauf, Schwachstellen in solchen Projekten aufzuspüren, die am prominentesten sind. Die Cyberkriminellen begnügen sich längst nicht mehr nur damit, Exploits für bereits bekannte und öffentlich gemeldete Sicherheitslücken in Open-Source-Projekten zu platzieren. Stattdessen ergreifen sie selbst die Initiative und schleusen neue Schwachstellen in Open-SourceProjekte ein. Fließen diese Projekte in globale Software Supply Chains, nutzen die Hacker diese Lücken dann aus.
Diese Next-Generation-Angriffe auf Software Supply Chains sind besonders bösartig, so die Security-Fachkräfte von Sonatype. Durch die Verlegung ihrer Angriffe in den vorgelagerten Bereich (upstream) erhielten die Hacker einen entscheidenden Zeitvorteil, ihre Malware in der gesamten Supply Chain zu verbreiten, was wiederum zu gut skalierbaren Angriffen auf nachgelagerte Nutzer (downstream) führe.
Die Verteidigung gegen diese Infiltration der Continuos Integration und Continuos Delivery/ Deployment (CI/CD-)Pipelines mit MalwarePackages ist schwierig. Zu diesem Ergebnis kommen die Security-Forscher von Palo Alto Networks in einem aktuellen Bericht. Das wirkt sich gerade im Cloud-Umfeld, wo die Taktung für die Bereitstellung neuer Softwarefunktionen extrem hoch ist, negativ auf die Sicherheit aus. Nahezu alle modernen nativen Cloud-Anwendungen verwenden Open-Source-Komponenten, einschließlich fast aller Software-as-aService-Plattformen (SaaS). Das Problem sei, dass sich kaum jemand um die Wartung oder Sicherung dieses Codes kümmere, heißt es in dem Palo-Alto-Networks-Report.
Als problematisch stufen die Sicherheitsexperten vor allem die Abhängigkeiten zwischen den verschiedenen von den Entwicklern verwendeten Paketen und Modulen ein. Jede dieser Abhängigkeiten beinhalte ein Sicherheitsrisiko und könne einen Angriffsvektor öffnen. Dazu komme, dass Third-Party-Pakete oft im Rahmen von Infrastructure as Code (IaC)Templates mehr oder weniger automatisch in die Software Supply Chain eingebaut würden – ohne dass die Entwickler vorher großartig über die Sicherheit nachdenken. Das führe dazu, dass sich Schwachstellen weitgehend unbemerkt in die IT-Infrastrukturen einschleichen können, warnen die Forscher von Palo Alto Networks.
Fast überall steckt Open Source Code
Nach Angaben der Cloud Native Computing Foundation (CNCF) enthalten 98 Prozent der Code-Basen für den Aufbau von Cloud-Infrastrukturen Open-Source-Komponenten. 92 Prozent davon seien veraltet oder enthielten anfälligen Code. Palo Alto Networks hat sich die verschiedenen Bestandteile angesehen, von TerraformScripten, einem beliebten Open-Source-IaCTool von Hashicorp, über Helm-Charts für das Deployment von Kubernetes-Containern bis zu Docker-Images. Das Ergebnis der Spezialisten ist erschreckend. Zwischen 60 und 100 Prozent der untersuchten Komponenten enthalten Schwachstellen und Sicherheitslücken, viele davon sind als kritisch zu bewerten. Keine guten Aussichten angesichts der Tatsache, dass jede Software Supply Chain nur so stark ist, wie ihr schwächstes Glied.