CERT-EU povezao Trivy supply-chain napad sa krađom podataka sa Europa.eu
CERT-EU je sa visokim stepenom pouzdanosti povezao krađu podataka sa platforme Europa.eu sa ranijim supply-chain napadom na open-source alat Trivy kompanije Aqua Security. Prema tekstu, kompromitacija Trivy okruženja omogućila je napadačima da dođu do AWS API ključa i zatim pristupe podacima koji se odnose na 42 interna klijenta Evropske komisije i najmanje 29 drugih entiteta EU koji koriste isti servis. Ukradeno je oko 350 GB podataka, uključujući imena, email adrese i poruke, a deo materijala je potom završio na dark webu preko grupe ShinyHunters.
Ono što ovaj slučaj čini posebno ozbiljnim jeste to što je kompromitovan alat koji je namenjen otkrivanju ranjivosti, pa je bezbednosni lanac pukao baš na mestu koje je trebalo da ga jača. Kada CI/CD okruženje slepo veruje promenljivim tagovima i alatima iz lanca isporuke, posledice se više ne zadržavaju na jednoj firmi, već mogu da pogode čitav niz cloud okruženja i povezanih organizacija.
- Odmah proveriti koje verzije Trivy alata postoje u CI/CD tokovima i preći na poznato bezbedne verzije
- Rotirati AWS i druge cloud kredencijale koji su mogli biti izloženi kroz kompromitovani lanac
- Vezivati GitHub Actions i slične komponente za nepromenljive commit ili SHA reference umesto za tagove
- Pregledati logove za neuobičajene cloud aktivnosti, Cloudflare tunelovanje i moguće tragove iznošenja podataka
- Preispitati koliko internih i eksternih servisa zavisi od istih build i bezbednosnih alata