信息化觀察網(wǎng)

近日，軟件審計(jì)公司Codecov的產(chǎn)品代碼爆出供應(yīng)鏈攻擊，導(dǎo)致該公司數(shù)百個(gè)客戶(hù)的網(wǎng)絡(luò)遭遇非法訪問(wèn)。

最初安全專(zhuān)家認(rèn)為攻擊僅影響Codecov，現(xiàn)在，該事件已被認(rèn)定是供應(yīng)鏈攻擊，復(fù)雜性堪比SolarWinds供應(yīng)鏈攻擊。

調(diào)查人員透露，這次襲擊已經(jīng)導(dǎo)致數(shù)百個(gè)Codecov客戶(hù)的網(wǎng)絡(luò)被訪問(wèn)。Codecov的客戶(hù)規(guī)模高達(dá)2.9萬(wàn)，其中包括許多大型科技品牌，例如IBM、Google、GoDaddy和HP，以及媒體發(fā)行商《華盛頓郵報(bào)》和知名消費(fèi)品公司（寶潔）等等。

Codecov提供的工具使開(kāi)發(fā)人員能夠了解測(cè)試期間執(zhí)行的源代碼數(shù)量（代碼覆蓋率），以幫助他們開(kāi)發(fā)更可靠、更安全的軟件產(chǎn)品。

但是，該公司的一個(gè)Docker文件發(fā)生錯(cuò)誤，使攻擊者可以竊取憑據(jù)并修改客戶(hù)使用的Bash Uploader腳本。

盡管事件是在4月1日才發(fā)現(xiàn)的，但Codecov表示：“自1月31日起，就有第三方對(duì)我們的Bash Uploader腳本進(jìn)行未授權(quán)的定期更改。”

該公司表示，攻擊者可以訪問(wèn)存儲(chǔ)在客戶(hù)的持續(xù)集成（CI）環(huán)境中的所有憑據(jù)令牌或密鑰，進(jìn)而可以訪問(wèn)通過(guò)這些憑據(jù)訪問(wèn)的任何服務(wù)、數(shù)據(jù)存儲(chǔ)和應(yīng)用程序代碼。

一位調(diào)查人員告訴路透社，通過(guò)供應(yīng)鏈攻擊，攻擊者可以利用此技術(shù)訪問(wèn)成千上萬(wàn)個(gè)受限制的網(wǎng)絡(luò)。

F-Secure戰(zhàn)術(shù)防御部門(mén)的高級(jí)經(jīng)理Calvin Gan敦促企業(yè)在執(zhí)行安全審核時(shí)將像Codecov之類(lèi)的第三方供應(yīng)商視為其組織的一部分，并定期進(jìn)行審核，確保所有配置都經(jīng)過(guò)驗(yàn)證。

“始終了解并權(quán)衡使用諸如Codecov之類(lèi)的任何第三方服務(wù)時(shí)所涉及的風(fēng)險(xiǎn)。雖然提供的服務(wù)是一項(xiàng)有價(jià)值的服務(wù)，但最好檢查或限制發(fā)送給這些服務(wù)的內(nèi)容，特別是如果它包含憑據(jù)或敏感信息時(shí)。”他補(bǔ)充說(shuō)。

“這并不容易，特別是如果該服務(wù)是公司所信任的服務(wù)。但是，一旦發(fā)現(xiàn)諸如此類(lèi)的漏洞，風(fēng)險(xiǎn)評(píng)估和提前制定的備份、響應(yīng)計(jì)劃將派上用場(chǎng)。”