聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

本周，美国网络安全和基础设施安全局 (CISA) 和美国国家标准与技术院 (NIST) 联合发布《防御软件供应链攻击》报告，提供了与软件供应链攻击相关的信息、关联风险以及缓解措施。

CISA 和 NIST 解释称，软件供应链是信息通信技术 (ICT) 供应链框架，该框架代表着“参与硬件、软件和管理服务销售、交付和生产的零售商、发行商和供应商的网络”。

除了 SolarWinds 攻击事件外，过去发生的臭名昭著的供应链攻击事件还包括 CCleaner 恶意软件活动、MeDoc（乌克兰会计软件）攻陷事件导致的 NotPetya勒索攻击活动、ShadowHammer 行动、运行 Windows 7 的物联网设备感染事件以及滥用卡巴斯基实验室软件窃取 NSA 文件事件。

当威胁行动者设法攻陷厂商环境并在软件到达客户前进行投毒时，就会发生软件供应链攻击，导致客户系统遭渗透。

厂商被黑后，客户要么因使用新的已受感染软件受陷，要么因安装恶意更新或热修复方案受陷。CISA 和 NIST 指出，“这些攻击类型影响受陷软件的所有用户，可为政府、关键基础设施和私营部门软件客户造成广泛影响。”

攻击者发动供应链攻击的常见技术包括劫持更新、篡改代码签名以及攻陷开源代码。攻击者可能会攻陷厂商的更新机制、黑掉签名系统或者应用字签名证书、或者将自身代码插入公开可访问的代码库中。

CISA和NIST表示，“软件供应链攻击一般要求具有强大的技术能力和长期投入，因此通常难以执行。通常来讲，APT 组织更可能同时具备意图和能力来开展这种供应链攻击，从而危害国家安全。”

软件供应链受陷可导致攻击者绕过已部署防御措施，获取初始访问权限，同时获得对目标环境的持久访问权限以窃取金融信息、提取数据、实施网络间谍活动、禁用防御措施甚至造成物理损害。

报告认为，为缓解和供应链攻击相关的风险，网络防御人员应当在攻击发生前应用行业最佳实践。同时报告推荐组织机构“在风险管理计划上下文中”使用第三方软件，而该计划应当包括正式的、适用于整个组织机构的 C-SCRM 方式。

报告还为组织机构提供了相关建议，如何阻止使用恶意或易受攻击软件、如何缓解已部署恶意或易受攻击应用程序以及如何提高弹性等。另外，报告还向软件厂商提供相关建议，如实现并遵循软件开发生命周期 (SDLC) 和集成安全的软件开发框架 (SSDF) 以确保不会输出恶意或易受攻击的软件。

推荐阅读

手把手教你详细分析 Chrome 1day 漏洞 (CVE-2021-21224)

详解通过 GitHub.com releases 可实施供应链攻击

神秘黑客攻陷密码管理器 Passwordstate 部署恶意软件，发动软件供应链攻击

为了研究，可以在 Linux 内核中植入漏洞吗？

利用 CocoaPods 服务器中的一个 RCE 漏洞，投毒数百万款app

Codecov后门事件验证分析

微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

速修复！热门npm 库 netmask 被曝严重的软件供应链漏洞，已存在9年

SolarWinds 供应链事件后，美国考虑实施软件安全评级和标准机制

找到软件供应链的薄弱链条

GitHub谈软件供应链安全及其重要性

揭秘新的供应链攻击：一研究员靠它成功入侵微软、苹果等 35 家科技公司

谷歌Linux基金会等联合推出开源软件签名服务 sigstore，提振软件供应链安全

Linus Torvalds 警告：勿用 Linux 5.12 rc1，担心供应链攻击？

微软和火眼又分别发现SolarWinds 供应链攻击的新后门

找到恶意软件包：Go 语言生态系统中的供应链攻击是怎样的？

拜登签署行政令，要求保护美国关键供应链（含信息技术）的安全

坐火车太无聊，我溜入微软 VS Code官方GitHub仓库，但没敢发动供应链攻击

SolarWinds 供应链攻击中的第四款恶意软件及其它动态

OpenWRT开源项目论坛遭未授权访问，可被用于供应链攻击

FireEye事件新动态：APT 攻击 SolarWinds 全球供应链（详解）

FireEye 红队失窃工具大揭秘之：分析复现SolarWinds RCE 0day (CVE-2020-10148)

FireEye红队失窃工具大揭秘之：分析复现Zoho ManageEngine RCE (CVE-2020-10189)

FireEye 红队失窃工具大揭秘之：分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)

FireEye 红队失窃工具大揭秘之：分析复现 Confluence路径穿越漏洞 (CVE-2019-3398)

FireEye 红队失窃工具大揭秘之：分析复现 Atlassian RCE (CVE-2019-11580)

Ripple 20：严重漏洞影响全球数十亿IoT设备，复杂软件供应链使修复难上加难

被后爹坑：开源 JavaScript 库沦为摇钱树

速修复！开源企业自动化软件 Apache OFBiz 出现严重的 RCE 漏洞

谷歌提出治理开源软件漏洞的新框架：知悉、预防、修复

开源软件漏洞安全风险分析

开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

集结30+漏洞 exploit，Gitpaste-12 蠕虫影响 Linux 和开源组件等

原文链接

https://www.securityweek.com/cisa-nist-provide-new-resource-software-supply-chain-attacks

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~