Tudo segue como de costume quando em 29 de março de 2024, acidentalmente, é descoberto o “mais avançado ataque à segurança na cadeia de suprimento de software (Software Supply Chain Security) conhecido até o momento*”. Um backdoor, que permite que invasores tenham acesso não autorizado a sistemas, fora adicionado a versões específicas de uma biblioteca em um pacote largamente utilizado em distribuições Linux, justamente por um usuário contribuinte que passou os últimos anos posando de “bom moço” para ganhar a confiança da comunidade.
Ao considerar Software Supply Chain Security como ações e decisões adotadas para manter a segurança no processo de desenvolvimento, distribuição e manutenção de software, que incluem verificação da integridade do código-fonte, reputação dos fornecedores, implementação de controles de acesso, dentre outros, seria aqui a confiança excessiva do ecossistema um erro crítico, de altíssimo risco?
E sendo Resiliência Cibernética, a capacidade de uma organização se adaptar e se recuperar de incidentes cibernéticos, mantendo a continuidade das operações e minimizando os danos, ou seja, muito mais que uma prevenção a ataques, mas indo além com a capacidade de detecção, resposta e recuperação célere de incidentes, a recomendação de downgrade imediato para versões não infectadas será sempre eficaz?
Estas ameaças são conhecidas como APT – Advanced Persistent Threat – que é um tipo de ameaça cibernética altamente sofisticada e direcionada, caracterizada por um ataque persistente e de longo prazo.
APTs são complexos e demandam, além de alto grau de conhecimento, muita paciência e persistência além de essencialmente possuírem objetivos estratégicos, de longo prazo, sendo roubo de propriedade intelectual, espionagem industrial, coleta de informações sensíveis ou mesmo sabotagem de infraestrutura crítica alguns exemplos.
Pacotes maliciosos não possuem privilégios, entretanto, a realização de um downgrade em casos em que uma organização dependa de funcionalidades específicas de versões mais recentes do pacote infectado pode ser apenas uma solução inicial, de resposta imediata, porém não exclusivamente única pois torna-se imprescindível, inclusive,
considerar que a APT pode ter explorado outras vulnerabilidades ou ter estabelecido outros pontos de entrada alternativos.
Fundamental ponderar que uma resposta a uma APT é sempre desafiadora, requer uma abordagem holística e coordenada, que envolva as mais variadas camadas de segurança, desde a inteligência de ameaças, revisão de políticas e procedimentos de segurança, análise forense e várias outras camadas de segurança que contribuam para o fortalecimento de iniciativas de segurança das organizações, com um adequado plano de resposta a incidentes, não apenas contra APTs, mas também contra diversas outras ameaças cibernéticas.
Aprender com o incidente é crucial, usar estas experiências para fortalecer a postura de segurança da organização no futuro é mandatório.
Para saber mais:
* BLOG Checkmarx.com: Backdoor discovered in XZ: The most advanced supply chain attack known to date
Devhub Checkmarx.com: cve-details/cve-2024-3094
SOBRE O AUTOR:
Paulo Silva, Application Security Sales Engineer | Product Owner na Nova8, Engenheiro de Segurança de Aplicações | Empreendedor | Professor