Venafi waarschuwt voor securityrisico’s open source libraries

4 juni 2019

Orga­ni­sa­ties worden afhan­ke­lijker van open source libraries (OSL’s) voor het ontwik­kelen van hun software en websites. Jing Xie, Senior threat intel­li­gence researcher van Venafi, waar­schuwt voor vier risico’s van deze trend. Orga­ni­sa­ties worden namelijk steeds kwets­baarder voor aanvallen via ogen­schijn­lijk betrouw­bare software.

Geïnfecteerde code

Cyber­cri­mi­nelen gebruiken geavan­ceerde aanvallen om malafide code toe te voegen aan open source libraries, omdat ze weten dat mensen er steeds meer op vertrouwen. Als gevolg daarvan intro­du­ceren niets­ver­moe­dende ontwik­ke­laars en websi­te­be­heer­ders malware in de eigen appli­ca­ties en websites, zodra zij een gecom­pro­mit­teerde OSL gebruiken. Als geïn­fec­teerde code daarna door een vertrouwde ontwik­ke­laar of beheerder wordt gedis­tri­bu­eerd, vertrouwen computers en gebrui­kers er blin­de­lings op. Via deze methode worden veel computers en netwerken onop­val­lend met malware besmet.

Vier OSL’s gerelateerde risico’s

Volgens Venafi zijn er vier OSL’s gere­la­teerde securityrisico’s waar orga­ni­sa­ties zich bewust van moeten worden, te weten:

  • Onde­tec­teer­bare malware: het impli­ciete vertrouwen in OSL’s – die vaak niet worden aangepast – betekent dat ontwik­ke­laars en websi­tema­na­gers geïn­fec­teerde bibli­o­theken gebruiken, zonder zich te reali­seren dat er malware aan is toegevoegd.
  • Besmette ketens: het toenemend gebruik van OSL’s heeft als gevolg dat één stuk geïn­fec­teerde code door meerdere bedrijven kan worden over­ge­dragen, om via een sneeuw­bal­ef­fect de hele keten voor soft­wa­re­ont­wik­ke­ling te beïnvloeden.
  • Legitiem uitziende code: behalve toevoegen van malafide code, creëren en verspreiden crimi­nelen ook eigen corrupte OSL’s. Naarmate orga­ni­sa­ties grotere aantallen OSL’s gaan gebruiken, wordt het daardoor steeds moei­lijker om corrupte van echte te onderscheiden.
  • Massale data­lekken: cyber­cri­mi­nelen kunnen aan een OSL toege­voegde malware misbruiken voor het creëren van backdoors in appli­ca­ties en websites. Omdat die backdoors zijn gemaakt door vertrouwde OSL’s, blijven ze vaak lange tijd onop­ge­merkt. Onder­tussen kunnen crimi­nelen veel data stelen, gebrui­kers bespi­o­neren, of andere illegale acti­vi­teiten uitvoeren. 

Code-signing certificaten

“Genoemde vier OSL-risico’s zijn een reëel probleem”, zegt Xie. “Recent onderzoek van Sonatype heeft namelijk een toename van 55% aan OSL-aanvallen in 2018 onthuld. Het is niet realis­tisch te verwachten dat orga­ni­sa­ties hun processen gaan veran­deren, door het gebruik van OSL’s in te perken. In plaats daarvan moet de hele markt samen­werken om open source code betrouw­baarder te maken”.

Venafi adviseert ontwik­ke­laars en orga­ni­sa­ties code-signing certi­fi­caten te gebruiken om de authen­ti­ci­teit van OSL’s valideren. “Verder moedigen wij orga­ni­sa­ties aan om interne OSL-code en libra­ry­re­leases te monitoren. Daardoor is malafide software sneller te iden­ti­fi­ceren en te verwij­deren, terwijl het de OSL-community helpt consensus te bereiken over welke OSL’s het betrouw­baarst zijn.”

Robbert Hoeffnagel

Editor @ Belgium Cloud

Pin It on Pinterest

Share This