云安全公司Orca Security在谷歌云构建（Google Cloud Build）服务中发现了一个关键的设计漏洞，该漏洞会让攻击者的权限升级，使他们可以在未经授权的情况下访问谷歌构件注册表（Google Artifact Registry）代码库。 该漏洞被称为 “Bad.Build”，可使威胁者冒充谷歌云构建管理的服务账户，针对构件注册表运行 API 调用，并控制应用程序映像。 这样，他们就可以注入恶意代码，从而在客户环境中部署恶意软件，导致潜在的供应链攻击。 Orca安全研究员Roi Nisimi表示：潜在的威胁可能是多种多样的，所有使用构件注册中心作为主要或次要镜像库的组织都应该警惕。 最直接的影响是破坏依赖于这些镜像的应用程序。这也可能导致 DOS、数据窃取和向用户传播恶意软件。正如我们在 SolarWinds 以及最近的 3CX 和 MOVEit 供应链攻击中所看到的那样，这可能会产生深远的影响。 Orca Security的攻击利用了cloudbuild.builds.create来升级权限，允许攻击者使用artifactregistry权限来篡改谷歌Kubernetes引擎（GKE）的docker镜像，并以root身份在docker容器内运行代码。 在 Orca Security 报告该问题后，谷歌安全团队实施了部分修复措施，撤销了默认云构建服务账户中与构件注册表无关的 logging.privateLogEntries.list 权限。 但是，这一措施并不能直接解决Artifact Registry中的底层漏洞，权限升级和供应链攻击风险依然存在。 因此，企业必须密切关注谷歌云构建服务账户的行为。应用 “最小特权原则”（Principle of Least Privilege）和实施云检测与响应功能来识别异常从而降低风险。 美国东部时间 7 月 18 日谷歌发表了如下声明： 我们创建了漏洞奖励计划，专门用于识别和修复类似的漏洞。我们非常感谢 Orca 和更多的安全社区参与这些计划。我们感谢研究人员所做的工作，并已根据他们的报告在 6 月初发布的安全公告中进行了修复。 参考链接：https://www.bleepingcomputer.com/news/security/google-cloud-build-bug-lets-hackers-launch-supply-chain-attacks/     转自Freebuf，原文链接:https://www.freebuf.com/news/372456.html 封面来源于网络，如有侵权请联系删除

谷歌云宣布推出软件供应链端到端保护产品Software Delivery Shield，旨在加强企业应对激增的软件供应链攻击的能力。 Software Delivery Shield可以在整个开发生命周期加强软件供应链安全，包括增强开发环境的应用安全、提升应用的映像和依赖项安全、加强CI/CD管道安全、保护应用运行时安全、在安全开发生命周期（SDLC）内实施基于信任的安全策略等。 回应软件供应链安全的呼声 多年以来，谷歌一直与开发者社区、公共部门及各合作伙伴携手，建立起多种行业范围内的标准与框架，并凭借软件工件供应链级别（SLSA）等成果努力增强软件供应链安全性。去年，作为谷歌公司百亿美元推进网络安全倡议的一部分，该公司承诺为各类被全球公共基础设施及企业广泛应用的关键开源组件提供保护。 为了进一步帮助用户提高软件供应链安全性，谷歌正式推出了Software Delivery Shield。这是一套完全托管的软件供应链安全解决方案，包含一组模块化功能，可以为开发者、DevOps及安全团队配备构建安全云应用所必需的各类工具。 Software Delivery Shield涵盖开发者工具、GKE、Cloud Code、Cloud Build、Cloud Deploy、Artifact Registry、Binary Authorization等一系列谷歌云服务，从开发者工具到运行时选项无所不包。 Software Delivery Shield包含的功能横跨五大领域，旨在解决软件供应链中的种种安全问题。这五大领域分别为：应用程序开发、软件供应环节、持续集成与持续交付（CI/CD）、生产环境、策略。 Software Delivery Shield还允许用户逐步落地其实施路径，因此组织可以根据自身特定需求进行方案定制，根据现有环境和安全优先级先选择一部分关键工具。 快速安全搞开发 为了从开发起步阶段就协助保护软件，Google Cloud Next的预览版中引入了一项新服务：Cloud Workstations，这是一套立足谷歌云的完全托管开发环境。借助Cloud Workstations，开发者们可以随时随地通过浏览器访问到安全、快速且可定制的开发环境，并获得一致的配置与定制化工具。同时，IT和安全管理员可以轻松配置、扩展、管理和保护这些运行在谷歌云基础设施上的开发环境。 作为Software Delivery Shield产品的关键组件，Cloud Workstations负责增强应用程序开发环境的安全态势，因而在“安全左移”上发挥着关键作用。借助VPC服务控制、无源代码本地存储、私有入口/出口、强制镜像更新和IAM访问策略等内置安全措施，Cloud Workstations有助于解决代码泄露、隐私风险、配置不一致等各类常见的本地开发安全痛点。 除了通过Cloud Workstations帮助保护开发环境之外，谷歌还为开发者提供工具，让他们在自己的笔记本电脑上快速安全进行编码。Cloud Code是谷歌的IDE插件系列，目前已经提供Source Protect插件的预览版。Source Protect能够在IDE中为开发者实时提供安全反馈，识别易受攻击的依赖项，报告许可证信息等。这种快速、可操作的反馈能帮助开发者及时更正当前代码，尽可能削减成本高昂的事后修复需求。 保卫软件“供应” 提高软件供应链安全性的另一个关键步骤，当数保卫软件供应——也就是构建工具与应用程序依赖项。随着开源软件的快速普及，这个问题正变得越来越棘手。 在与广泛社区合作建立指导方针和框架，借以提高整体开源安全性的同时，谷歌还提供更多服务以帮助直接克服这一挑战。今年5月，谷歌推出了可信开源软件（Assured OSS）服务，目前尚处于预览阶段。 Assured OSS是谷歌的首个“策划”开源项目，相当于在大家熟知的免费和“原样”开源之上添加了一个问责层。作为Software Delivery Shield解决方案中的关键组成部分，Assured OSS提供已经由谷歌完成挑选和审查的开源软件包。这些软件包被部署在安全管道之内，并定期接受漏洞扫描、分析和模糊测试。 使用Assured OSS，安全团队将可以肯定其开发人员使用的开源依赖项已经通过了审查。该服务目前涵盖250个Java及Python精选包，且全部经过验证。它会自动生成软件物料清单（SBOM），即应用程序开发和交付中所涉及的一切组件和依赖项清单，用以识别存在潜在风险的各类元素。 借助Software Delivery Shield，DevOps团队能够在Artifact Registry中存储、管理和保护各类构建工件，还能通过Container Analysis提供的多语言包集成扫描主动检测漏洞。除了扫描基础镜像之外，Container Analysis（目前为预览版）现在还能对Maven及Go容器，以及非容器化Maven包执行推送时扫描。 锁定CI/CD管道 恶意黑客可能会破坏CI/CD管道以攻击软件供应链。因此，谷歌才一直努力加强完全托管CI平台Cloud Build和CD平台Cloud Deploy。作为Software Delivery Shield解决方案中的关键组件，这两大平台都包含内置安全功能，包括粒度IAM控制、VPC服务控制、隔离与临时环境、审批闸道等，可帮助DevOps团队更好地管理构建与部署流程。 Cloud Build现在还正式支持SLSA L3 builds，即默认实施SLSA L3级最佳实践。除了提供临时和隔离的构建环境之外，Cloud Build现在还能为容器化应用程序和非容器化Maven/Python软件包生成经过身份验证、不可篡改的构建源，并显示关于所构建应用程序的安全细节信息。 协助保护生产中的应用程序 软件供应链保护中的另一个关键环节，就是加强运行时环境的安全态势。Google Kubernetes Engine (GKE) 和 Cloud Run是谷歌打造的领先容器化应用程序运行时平台，二者均包含内置的安全功能，可为运行中的应用程序给予协助保护。 我们很高兴地宣布，GKE此次也迎来新的内置安全状态管理功能（现为预览阶段），可用于识别并解决GKE集群和工作负载中的安全问题。基于行业标准和GKE团队的安全专业知识，GKE现可提供详尽的风险严重性等级评估与结果，并就集群和工作负载的安全状况提供建议，包括对于操作系统漏洞和工作负载配置的洞察发现。 GKE仪表板现可清晰指明哪些工作负载会受到安全问题影响，而后提供可操作的指导性解决方案。除仪表板之外，GKE还能将安全问题记录至Cloud Logging，这部分安全事件信息随后可通过Pub/Sub（公布/订阅）被路由至工单系统或安全信息与事件管理（SIEM）系统等服务端。 对于Cloud Run无服务器平台的客户，谷歌正着手为Cloud Run安全面板引入新的增强功能。现在此面板能够显示软件供应链的安全见解，例如SLSA构建层面的合规性信息、构建源以及正在运行的服务中发现的漏洞（现为预览阶段）。 Software Delivery Shield的各项服务间协同工作，为用户软件供应链带来从开发到生产的全流程保护。 通过策略建立信任链 除了在软件交付生命周期的各个阶段增强安全态势之外，Software Delivery Shield还提供基于信任的策略引擎，帮助用户为整个供应链建立、维护和验证相应的信任链。 Binary Authorization是一款部署时安全控件，可以保证GKE或Cloud Run上仅部署受信任的容器镜像。借助Binary Authorization，DevOps或安全团队可以在开发过程中要求受信权威机构对镜像进行签名，而后在部署时强制执行签名验证。通过这种强制验证，各团队即可确保构建与发布流程中仅使用经过验证的镜像，从而更严格地控制容器环境。 软件供应链的安全保护是一项复杂挑战。Software Delivery Shield提供的端到端解决方案有助于保护软件完整性，使其免受软件供应链中各种形式攻击的影响。借助谷歌云服务承载的丰富工具集合，组织可以立即体验并根据现有环境/安全优先级逐步采用最合适的安全措施（无论大小），稳健提升软件供应链的整体安全水平。   转自 安全内参，原文链接：https://www.secrss.com/articles/47880 封面来源于网络，如有侵权请联系删除

5月11日，网络安全研究人员在NPM注册表中发现了一些恶意软件包，专门针对一些位于德国的知名媒体、物流和工业公司进行供应链攻击。 JFrog研究人员在一份报告中表示，“与NPM库中发现的大多数恶意软件相比，这一有效负载危险性更高。它是一个高度复杂的、模糊的恶意软件，攻击者可以通过后门完全控制被感染的机器。” DevOps公司表示，根据现有证据，这要么是一个复杂的威胁行为，要么是一个“非常激进”的渗透测试。 目前，大部分恶意软件包已经从注册表中移除，研究人员追踪到四个“维护者”bertelsmannnpm、boschnodemodules、stihlnodemodules和dbschenkernpm，这些用户名表明其试图冒充像贝塔斯曼、博世、Stihl和DB Schenker这样的合法公司。 “维护者”bertelsmannnpm 一些软件包的名称非常具体，它意味着对手设法识别了公司内部存储库中的库以进行依赖混淆攻击。 供应链攻击 上述发现来自Snyk的报告，该报告详细描述了其中一个违规的软件包“gxm-reference-web-aut -server”，并指出恶意软件的目标是一家在其私有注册表中有相同软件包的公司。 Snyk安全研究团队表示:“攻击者很可能在该公司的私人注册表中，掌握了这样一个包的存在信息。” Reversing实验室证实了黑客攻击行为，称上传至NPM的恶意模块版本号比私有模块的版本号更高，从而迫使模块进入目标环境，这是依赖混淆攻击的明显特征。 该实验室解释“运输和物流公司的目标私有软件包有0.5.69和4.0.48版本，与恶意软件包的公开版本名称相同，但其使用的是版本0.5.70和4.0.49。” JFrog称这种植入是“内部开发”，并指出该恶意软件包含两个组件，一个是传输器，它在解密和执行JavaScript后门之前，向远程遥测服务器发送有关被感染机器的信息。 后门虽然缺乏持久性机制，但设计用于接收和执行硬编码的命令和控制服务器发送的命令，评估任意JavaScript代码，并将文件上传回服务器。 研究人员称，这次攻击的目标非常明确，并且其掌握了非常机密的内部信息，甚至在NPM注册表中创建的用户名公开指向目标公司。 在此之前，以色列网络安全公司Check Point披露了一项长达数月的信息窃取活动，该活动使用AZORult、BitRAT、Raccoon等商用恶意软件攻击德国汽车行业。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/332868.html 封面来源于网络，如有侵权请联系删除

近日，美国国家标准与技术研究所（NIST）再次更新了《网络安全供应链风险管理》（C-SCRM）指南，提供了与供应链攻击相关的趋势和最佳实践，指导企业有效管理软件供应链风险，以及在遭受供应链攻击时该如何进行应急响应。 网络供应链风险管理(C-SCRM)是识别、评估和减轻ICT产品和服务供应链分配和互联性相关风险的过程。C-SCRM覆盖了ICT的整个生命周期：包括硬件、软件和信息保障，以及传统的供应链管理和供应链安全实践。 目前，NIST发布了“系统和组织网络安全供应链风险管理实践”，以此响应“改善国家网络安全”的美国第14028号行政命令。 系统和组织网络安全供应链风险管理实践明确指出，本刊物的目的是为企业提供有关如何识别、评估、选择和实施风险管理流程以及减轻企业控制措施的指导，以帮助管理整个供应链的网络安全风险。” 修订后的指南主要针对产品、软件和服务的收购方和最终用户，并为不同的受众提供建议：网络安全专家、负责企业风险管理人员、采购人员、信息安全/网络安全/隐私、系统开发/工程/实施的领导和人员等。 NIST 的Jon Boyens表示，管理供应链的网络安全是一项一直存在的需求，当供应链遭到勒索软件攻击时，制造商可能因缺乏重要组件而停摆，连锁商店也可能只是因为维护其空调系统的公司得以访问其共享资料而爆发资料外泄事件，该指南的主要读者群将是产品、软件及服务的采购商与终端用户，倘若政府机关或组织尚未着手管理供应链的风险问题，那么这就是一个从零到有的完整工具。 NIST的专家们进一步强调了现代产品和服务供应链安全的重要性。毕竟，一种设备可能是在一个国家/地区设计的，但是它的组件可能在全球多个国家/地区制造，只要生产这些组件的公司其中一个出现安全事件，那么就有可能会对整个供应链的产品和服务产生重大影响，大大增加了全球组织的攻击面和受影响的连锁性。 例如制造商可能会因为其中一个供应商受到勒索软件攻击，而导致关键制造组件的供应中断，或者零售连锁店可能会因为维护其空调系统的公司可以访问商店的数据共享网站而遭遇数据泄露事件。 转自 FreeBuf ，原文链接：https://www.freebuf.com/news/332505.html 封面来源于网络，如有侵权请联系删除