A szoftverellátásilánc-menedzsment platformot fejlesztő Sonatype hetedik alkalommal tette közzé éves State of the Software Supply Chain jelentését, amelynek egyik legfontosabb megállapítása, hogy az ilyen irányú, következő generációsnak nevezett támadások száma tavaly 650 százalékkal növekedett az előző évre becsült szinthez képest. A riportben ezúttal a Java, a JavaScript, a Python és a .NET ökoszisztémákhoz kapcsolódóan 100 ezer szoftvertermék és 4 millió olyan szoftverkomponens adatait elemezték, amelyeket fejlesztők átemeltek egyik helyről a másikra.

A Sonatype mindennek alapján megállapítja, hogy a szóban forgó nyílt forrású "készlet" a legutóbbi statisztikához viszonyítva 20 százalékkal bővült, és a szoftverkomponenseknek már majdnem 37,5 millió különböző verzióját azonosították a fenti, legnépszerűbb keretrendszerekben. Ezek felhasználásában azonban többször ekkora arányú, 73 százalékos növekedésre számítanak az idén, miután a fejlesztők várhatóan 2,2 ezer milliárd open source csomagot töltenek majd le 2021 egészét tekintve.

A jelentésből kiderül, hogy a biztonsági sérülékenységek a legnépszerűbb projekteket hatják át a legnagyobb mértékben, amelyeknek a Java, JavaScript, Python és .NET ökoszisztémák felső 10 százalékára vonatkoztatva 29 százaléka tartalmaz legalább egy darab, már ismert és azonosított sebezhetőséget. Ugyanez az arány a maradék 90 százalék esetében csak 6,5 százalékos. Ebből mégsem az következik, hogy a leggyakrabban használt nyílt forrású projektek kevésbé biztonságosak, hiszen a white hat biztonsági kutatók nyilván olyan hibákat keresnek elsősorban, amelyek a legtöbb szervezetet és felhasználót érintik, és amelyeket a rosszindulatú szereplők is nagyobb eséllyel igyekeznek kihasználni.

Mindezzel azonban összefügg a Sonatype másik megállapítása, amely a szoftverellátási láncok elleni támadások változásáról szól. Ennek alapján a bűnözők egyre inkább olyan technikákat adaptálnak, amelyek révén minél közelebb kerülhetnek a kódok forrásához, a következő generációsnak nevezett támadások pedig a korábbiaknál jobban skálázhatók, és nagyobb lehetőségeket kínálnak a kártékony programok terjesztésére is a teljes szoftverellátási láncon belül, hogy maximális pusztítást végezhessenek.

Nem csak a növekedés meredek

Bár a nyílt forrású kódbázisok számtalan sérülékenységet tartalmaznak, a vállalati fejlesztők igyekeznek mindig frissen tartani a szoftvereiket a lehető legfrissebb komponensekkel, hogy a támadók minél kevésbé használhassák ki a már ismert hibákat. Utóbbiak ezért maguk próbálják létrehozni a sebezhetőségeket azzal, hogy direkt ilyen kódokat juttatnak a nyílt forrású kódkönyvtárakba, elterjesztve azokat a szélesebb ellátási láncokban. A rosszindulatú kódok befecskendezése, a typosquatting (az elgépelésekre építő trükkök) és más módszerek eddig is népszerűek voltak, a Sonatype szerint azonban megjelent, sőt egyre látványosabbá válik egy új támadási vektor is.

A dependency confusion néven hivatkozott technika lényege, hogy a szoftverek telepítését végző szkripteket próbálják átverni, amelyek ennek következtében valamilyen kártékony csomagot töltenek le a nyilvános repository-kból. Kitalálják például a belső csomagok nevét az adott vállalati alkalmazásokban, majd ugyanazon a néven közzétesznek egy magasabb szemantikus verziójú csomagot, ezeket pedig az automatizált szoftverfejlesztő eszközök a frissítések keresésekor ugyancsak automaikus módon le is tölthetik.

Maga a Sonatype is több száz ilyen csomagot fedezett már fel, de a szoftverellátási láncokat érintő "upstream" támadásokról szólva általánosságban is riasztó adatokat közöl: 2015 februárja és 2019 júniusa között állítólag 216 ilyen kísérletet azonosítottak, 2019 júliusától 2020 májusáig 929-et, az azóta eltelt időszakban pedig több mint 12 ezret. Ez időarányosan, a naptári éveket tekintve 650 százalékos növekedésnek felel meg, és egyelőre nem látszik, hogy a tendencia mérséklődne.