MÜNCHEN (IT BOLTWISE) – Zwei Sicherheitsforscher haben eine kritische Schwachstelle in der Software-Lieferkette eines kürzlich übernommenen Unternehmens entdeckt und dafür eine Bug Bounty in Höhe von 50.500 US-Dollar erhalten. Diese Entdeckung wirft ein Schlaglicht auf die Sicherheitsrisiken, die mit Unternehmensübernahmen einhergehen.
Die Entdeckung von Sicherheitslücken in der Software-Lieferkette eines kürzlich übernommenen Unternehmens hat zwei Forschern eine beachtliche Bug Bounty eingebracht. Lupin (Roni Carta) und Snorlhax, die bereits in der Vergangenheit erfolgreich zusammengearbeitet haben, richteten ihren Fokus auf die oft vernachlässigten Sicherheitslücken bei Unternehmensübernahmen. Sie stellten fest, dass neu erworbene Unternehmen nicht immer die gleichen hohen Sicherheitsstandards wie ihre Muttergesellschaften einhalten, was zu erheblichen Risiken führen kann.
Die Forscher begannen ihre Untersuchung mit einer detaillierten Analyse der Online-Präsenz des übernommenen Unternehmens, einschließlich seiner Code-Repositories und Paketregister. Dabei setzten sie fortschrittliche Techniken ein, um JavaScript-Dateien in abstrakte Syntaxbäume (ASTs) zu transformieren und Docker-Images zu analysieren, um Abhängigkeiten und mögliche Schwachstellen aufzudecken. Diese Untersuchung führte sie zu einer DockerHub-Organisation, die mit der Übernahme in Verbindung stand.
Der entscheidende Durchbruch gelang, als die Forscher ein Docker-Image herunterluden und analysierten. Darin entdeckten sie den vollständigen Quellcode der Backend-Systeme des Unternehmens. Doch damit nicht genug: Sie fanden auch sensible Informationen, die für potenzielle Angreifer von großem Interesse sein könnten.
In einem technischen Blogbeitrag von Lupin wird beschrieben, wie die Forscher ein “.git”-Verzeichnis im Image fanden, das ein Autorisierungstoken für GitHub Actions (GHS) enthielt. Dieses Token hätte einem Angreifer die Möglichkeit gegeben, die Build-Pipelines des Unternehmens zu manipulieren, bösartigen Code einzuschleusen oder sogar Zugriff auf weitere Repositories zu erlangen.
Zusätzliche Untersuchungen ergaben, dass das Docker-Image zwar die .npmrc-Konfigurationsdatei entfernt hatte, die Forscher jedoch erkannten, dass frühere Schichten des Images noch Spuren davon enthalten könnten. Mit Werkzeugen wie Dive und Dlayer erkundeten sie diese Schichten und fanden schließlich ein privates npm-Token. Dieses Token ermöglichte Lese- und Schreibzugriff auf die privaten Pakete des Zielunternehmens.
Die Forscher erkannten, dass sie nun in der Lage waren, bösartigen Code in eines der privaten Pakete einzuschleusen, die von den Entwicklern, Pipelines und Produktionssystemen des Unternehmens automatisch abgerufen würden. Da es sich um private Pakete handelte, würde der Angriff Sicherheitsüberprüfungen umgehen und es ermöglichen, Systeme auf allen Ebenen zu kompromittieren, was zu groß angelegtem Datendiebstahl und Datenverletzungen führen könnte.
Software-Lieferketten-Schwachstellen haben in den letzten Monaten Tausende von Unternehmen betroffen. Cyberangriffe auf Unternehmen wie Snowflake Inc., Blue Yonder und MOVEit Transfer werden weiterhin ausgenutzt und beeinträchtigen Organisationen weltweit.
Die gute Nachricht ist, dass das Forscherduo ihre Erkenntnisse dokumentierte und die Auswirkungen der Schwachstelle dem Sicherheitsteam des betroffenen Unternehmens demonstrierte. Ihr Bericht beschrieb, wie Angreifer ein manipuliertes npm-Paket verwenden könnten, um Geheimnisse zu erbeuten, in interne Systeme einzudringen und CI/CD-Pipelines zu kompromittieren. Infolgedessen verlieh das Unternehmen den Forschern eine Bug Bounty in Höhe von 50.500 US-Dollar, um die Schwere der Schwachstelle anzuerkennen.
Dieser Vorfall zeigt, wie Angriffe erfolgreich sein können, wenn mehrere vernachlässigte Schwachstellen zusammenkommen. In diesem Fall stammte das Problem aus Lücken in der Software-Lieferkette und Sicherheitsmängeln in einem neu erworbenen Unternehmen. Das Team betonte die Bedeutung der Sicherung jedes Teils des Entwicklungsprozesses, von dem Code selbst bis hin zu den beteiligten Komponenten und externen Paketen. Es ist ein Beispiel dafür, dass der Schutz einer Software-Entwicklungspipeline nicht einfach ist und sorgfältige Aufmerksamkeit für jedes Detail erfordert.
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Bachelorand (m/w/d) im Bereich Innovations - Optimierung kapazitiver Sensorsysteme durch KI
Student für künstliche Intelligenz – dualer Bachelorstudiengang (m/w/d)
Expert for Advanced Generative AI-Applications (m/w/d)
Senior Solution Customer Success Manager (f/m/d) for SAP Business AI
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Sicherheitslücke in Lieferkette: Forscher erhalten 50.500 US-Dollar Bug Bounty" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Sicherheitslücke in Lieferkette: Forscher erhalten 50.500 US-Dollar Bug Bounty" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die deutsche Google-Suchmaschine für eine weitere Themenrecherche: »Sicherheitslücke in Lieferkette: Forscher erhalten 50.500 US-Dollar Bug Bounty« bei Google Deutschland suchen und bei Google News recherchieren!