image

SolarWinds komt met zelfvernietigende software-ontwikkelomgeving

dinsdag 2 augustus 2022, 14:09 door Redactie, 2 reacties

Softwarebedrijf SolarWinds, waarvan de updates werden gebruikt voor een wereldwijde aanval, maakt om herhaling te voorkomen gebruik van een zelfvernietigende software-ontwikkelomgeving. SolarWinds is het bedrijf achter de Orion-software, waarmee tienduizenden bedrijven hun it-omgevingen monitoren. Aanvallers wisten de officiële updates voor de software van een backdoor te voorzien waarmee de omgevingen van klanten konden worden gecompromitteerd. De besmette updates werden uiteindelijk door 18.000 SolarWinds-klanten geïnstalleerd.

Het bedrijf had niet door dat de aanvallers sinds begin 2019 vergaande toegang hadden en werd eind 2020 door een externe partij ingelicht dat de ontwikkelomgeving was gecompromitteerd. Naar aanleiding van de aanval heeft SolarWinds verschillende aanpassingen doorgevoerd. Zo is bijna al het personeel voorzien van een YubiKey om in te loggen op systemen. Daarnaast is er een nieuwe buildomgeving gemaakt voor het ontwikkelen van software.

Het gaat hier om ontwikkelomgevingen die zichzelf nadat een specifieke taak is uitgevoerd vernietigen. Hiervoor maakt SolarWinds gebruik van Linux-containers die softwareontwikkelaars zelf kunnen starten en na het uitvoeren van de betreffende buildjob worden vernietigd. Dit moet voorkomen dat er een ontwikkelomgeving ontstaat die aanvallers voor een langere periode kunnen compromitteren en als "thuisbasis" voor verdere aanvallen kunnen gebruiken. Is er daardoor "niet statisch" om aan te vallen, zegt chief information security officer (CISO) Tim Brown tegenover The Daily Swig.

Ook wordt elke stap in het buildproces van de software nu opgeslagen, zodat alle aanpassingen traceerbaar zijn. Verder is er een gelijktijdig buildproces om zo onverwachte aanpassingen aan code te detecteren. Onderdelen van het nieuwe buildsysteem zijn open source gemaakt.

Image

Reacties (2)
02-08-2022, 15:41 door Anoniem
Hiervoor maakt SolarWinds gebruik van Linux-containers die softwareontwikkelaars zelf kunnen starten en na het uitvoeren van de betreffende buildjob worden vernietigd.
En waar zijn de build-instructies voor deze containers opgeslagen? Wat als een aanvaller die build-instructies aanpast en van een backdoor voorziet?
02-08-2022, 17:26 door Anoniem
Dit is niets nieuws en zelfs DevOps best-practice. Leuke PR maar containers horen (bijna) altijd vluchtig te zijn.
Ze hadden hun zaken niet op orde.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.