코데코브 주요 내용 - 지금까지 알려진 사실

이렇게 빨리 상기시킬 필요는 없겠지만, 최근 여러 조직에서 지속적 통합(CI) 프로세스를 지원하는 코드코브의 도구 세트가 침해된 사건은 오늘날 존재하는 방대한 상호 의존성과 그에 따른 공급망 공격의 위험성을 다시 한 번 강조합니다.

또한, 신뢰할 수 있는 공급업체가 제공하는 소프트웨어에 대한 암묵적인 믿음은 고객이 업데이트가 호스트에서 로컬로 수행되는 작업뿐만 아니라 네트워크 연결 및 데이터 전송 측면에서 수행되는 작업을 적절히 테스트하지 않는다는 것을 의미합니다. 이는 조직에서 실행 중인 소프트웨어가 완전히 이해되지 않는 경우가 많다는 것을 의미합니다.

이것이 코데코브에서 일어난 일과 어떤 관련이 있나요?

코데코브는 고객의 CI 파이프라인에 통합할 수 있는 보고 기능을 제공하며, 특히 테스트의 일부로 실행되는 코드의 양을 보고하여 유효성 검사 프로세스의 격차를 파악하는 데 도움이 되는 툴입니다. 그런 다음 이러한 메트릭은 보고 및 분석을 위해 SaaS 플랫폼에 업로드됩니다.

데이터 업로드는 CI 프로세스의 일부로 실행되는 '배시 업로더'라고 통칭되는 스크립트를 통해 이루어집니다. 이러한 업로더 스크립트가 변조될 경우 공격자는 업로드를 원하는 서버로 리디렉션할 수 있을 뿐만 아니라 포함할 데이터를 지정할 수 있어 CI 프로세스에 잠재적으로 액세스할 수 있는 모든 데이터를 제공할 수 있습니다.

코데코브의 경우, 초기 유출은 코데코브의 도커 이미지 생성 프로세스의 오류로 인해 구글 클라우드 스토리지 인증정보가 유출된 것이었습니다. 공격자는 이 자격 증명을 통해 수정된 버전의 Bash Uploader 스크립트를 게시할 수 있었고, 이 스크립트가 실행되는 CI 프로세스에서 사용 가능한 모든 환경 변수의 내용을 수집하고 이를 자신의 서버에 업로드할 수 있도록 변경했습니다.

이 수정된 스크립트는 코데코브 사이트에서 직접 사용할 수 있었기 때문에 고객들이 이를 신뢰하고 별다른 검증 없이 다운로드하여 통합한 것으로 추정됩니다. CI 프로세스의 환경 변수는 일반적으로 런타임에 필요한 리소스에 액세스하기 위해 코드에 관련 비밀을 삽입하는 데 사용됩니다. 따라서 악성 업로더 스크립트는 이러한 정보에 액세스하여 공격자에게 전송하여 자격 증명 및 기타 민감한 정보를 안전하게 수집할 수 있습니다.

더 이상의 지속적인 네트워크 액세스가 없더라도(그리고 이번 유출로 이를 입증할 수 있는지는 아직 밝혀지지 않았습니다) 이러한 비밀은 관련 애플리케이션이 사용하는 스토리지 버킷, 데이터베이스, 기타 클라우드 서비스 등 인터넷으로 액세스할 수 있는 여러 리소스에 대한 액세스를 제공한다는 점에서 보물 상자와도 같습니다. 이 역시 현재 손상되었을 가능성이 높습니다.

최소한 손상된 Bash Uploader 스크립트를 CI 파이프라인에 통합했을 가능성이 있다고 판단되는 조직은 긴급하게 이 스크립트가 액세스할 수 있는 모든 비밀을 초기화해야 합니다. 이렇게 하면 영향을 받는 애플리케이션이 업데이트된 비밀 정보를 받았는지 확인하기 위해 애플리케이션을 다시 배포해야 하지만, 이 방법의 오버헤드는 도난당한 자격 증명의 노출을 연장하는 것보다 선호됩니다.

기밀 유출 외에도 CI 파이프라인에 부여된 지속적인 권한 액세스는 악용될 가능성이 높습니다. 정의에 따르면 파이프라인의 책임은 새로운 소프트웨어 빌드를 생성하고 이를 리포지토리에 게시하는 것입니다. 파이프라인 인프라 자체가 손상되면 공격자는 콘텐츠를 변경할 수 있으며, 나중에 다운스트림 시스템이나 생성된 아티팩트 내에 백도어를 삽입하여 사용할 수 있습니다. 그렇다면 공격자와 공격자의 촉수가 모두 제거되었다고 확신하려면 얼마나 많은 재구축을 해야 할까요?

다음으로 CI 인프라에 사용할 수 있는 네트워크 액세스를 살펴볼 필요가 있습니다. 일반적으로 버전 관리 시스템, 모니터링 인프라, 자동화된 테스트, 빌드 프로세스, 구성 관리 및 지속적 배포를 비롯한 다른 주요 구성 요소에 직접 액세스할 수 있습니다(이에 국한되지 않음). 또한 FOSS 구성 요소를 많이 사용하는 경우 CI 파이프라인은 관련 종속성을 가져오기 위해 공용 리포지토리에 대한 인터넷 액세스가 필요한 경우가 많습니다.

CI 파이프라인에 요구되는 고밀도 연결 요구 사항을 고려할 때 세분화가 여전히 중요한 보안 제어 역할을 할 수 있을까요?

의 가치를 고려할 때 마이크로 세분화두 가지 방법으로 표시할 수 있습니다:

1. 마이크로 세분화를 사용하면 고가 자산을 링펜싱하여 나머지 네트워크에 대한 노출을 제한할 수 있으므로 공격자가 자산에 접근하여 악용하기가 더 어려워집니다.
2. 마이크로 세분화를 통해 모든 워크로드에 최소 권한 액세스 규칙 기반의 마이크로 경계를 설정할 수 있습니다. 이렇게 하면 감염된 경우 노출되는 공격 표면이 연결 권한이 있는 곳으로만 제한되므로 공격자가 다음에 수행할 수 있는 작업이 제한됩니다.

이를 CI 파이프라인과 연관시키는 한 가지 접근 방식은 다음과 같습니다:

• CI 파이프라인은 분명 높은 가치를 지닌 자산이며 반드시 보호해야 하는 자산입니다.
• 연결성 관점에서 여러 가지 내부 및 외부 종속성이 있을 수 있지만, 이러한 종속성을 잘 이해하고 잘 정의해야 합니다.
• 이 정보를 사용하여 허용 목록 기반마이크로 세분화 정책을 구축하여 CI 파이프라인이 이러한 잘 이해된 종속성에만 액세스하도록 보장할 수 있습니다.
• 인터넷 액세스가 필요한 경우, 승인된 리포지토리 목록에 대해서만 허용해야 하며 무제한 인터넷 액세스가 허용되어서는 안 됩니다. 이는 명시적으로 정의된 대상 사이트 목록으로만 액세스를 제한하며, C&C 및 데이터 유출 시도를 방어하는 효과적이고 간단한 제어 방법입니다.

이렇게 하면 권한이 없는 디바이스나 권한이 없는 포트 및 프로토콜을 통해 CI 파이프라인에 액세스하지 못하도록 보호할 수 있습니다. 또한 CI 파이프라인이 손상되는 경우 나머지 네트워크에 대한 노출이 제한되도록 보장합니다. 또한, 세분화 제어가 개선되면 시스템 상호 작용에 대한 가시성이 크게 향상되어 사고 감지 및 대응 팀이 잠재적 침해를 조사할 때 더 풍부한 데이터를 활용할 수 있습니다.

Illumio는 고객이 마이크로 세분화를 활용하여 이러한 격리 및 모니터링을 구축할 수 있도록 지원합니다. 지원 방법을 알아보려면 계정 팀에 문의하세요.