CICD攻击场景.pdf

1、CI/CD攻击场景演讲人：mx7krshell目录/CONTENTS研究研究CI/CDCI/CD安安全背景全背景CI/CDCI/CD攻击路攻击路径径CI/CDCI/CD流水线流水线安全威胁安全威胁攻击案例分享攻击案例分享p 开发模式的演变p 供应链安全p 攻防趋势的升级研究CI/CD安全背景 瀑布模型开发模式的变化 瀑布模型 与 敏捷模型的区别开发模式的变化 DevOps开发模式的变化云原生应用的DevOps架构供应链安全近几年，供应链攻击都显著增加，在这些供应链事件中，有些是因为CI/CD流程机制不足等问题遭到了攻击，从而突显了解CI/CD安全面临的问题的重要性。获取CI/CD中的凭证与数据

2、PHP源代码被插入后门供应链安全Linux基金会成员发起的SLSA（软件构件的供应链级别）Aqua Security和CIS联合发布的CIS软件供应链安全指南这些框架是否能够真正适用于生产环境中？是否覆盖了所有可能的攻击方式和业务场景？它们是否提供了有效的防御措施？攻防趋势的升级“现如今企业安全防御能力日渐完善，传统的攻击手段已经很难对目标造成有效的威胁，而供应链攻击与社工攻击、0day 攻击已经并称为当下企业网络突破的三大核心手段，供应链攻击已经开始趋于规模化、系统化、产业化，企业遭受的供应链攻击正在呈现快速增长的态势。”-2022攻击技术发展趋势报告攻防不仅仅是技术层面的对抗，更是业务层面

3、的博弈。需要了解目标系统的业务逻辑、架构、数据流向等，以寻找薄弱的环节。-个人观点p 客户端攻击侧p 服务端攻击侧p 上、中游攻击侧CI/CD攻击路径CI/CD攻击路径开发环境攻击路径 客户端攻击：钓鱼开发人员、运维人员(IDaaS等)信息收集：凭证泄露、浏览器凭据、GIT、SSH、Xshell、远程连接配置、.kube/config 提交代码：向代码仓库提交恶意代码、D-PPE、I-PPE等HackBrowserData微信聊天记录开发环境攻击路径 服务端攻击：针对服务器漏洞的攻击（中间件、Web应用，Pod）CI/CD基础设施：Gitlab、Jenkins、Kubernetes、Harbo

4、r、Ansible等 常规渗透：SQLInject、RCE、弱密码、反序列化、未授权等开发环境攻击路径 供应链攻击：针对第三方工具和应用程序依赖性等攻击 上游供应商：开源组件、IDE CI/CD基础设施（中游攻击）：Gitlab、Jenkins、Kubernetes、Harbor等 依赖包投毒：Python、npm、Jquery等软件供应链安全白皮书 2021攻击者为什么要关注CI/CD？CI/CD是通向生产环境的新路径CI/CD流水线安全威胁流水线安全威胁源的威胁p 身份验证和访问管理不足p 流程控制机制不足p 中毒管道执行源的威胁 这一块的风险源于难以管理分布在各个系统中的用户权限。权限过

5、大、过期身份、本地身份、外部身份、自注册身份、共享帐号等身份验证和访问管理不足实战案例：Gitlab与Jenkins联动，注册gitlab就能够登录Jenkins实战案例：SVN外网服务器帐号爆破，获得开发源码，代码中大量凭据互联网案例：面向互联网的 GitLab 服务器可通过自行注册访问梅赛德斯奔驰源代码泄露。攻击者获得CI/CD流程中的（SCM、CI、Artifact、仓库等）权限后，在缺少代码审核机制时能够将恶意代码推入到管道中。提交代码到存储分支，该分支通过管道自动部署到生产中提交代码到存储分支，手动触发将代码推送到生产的管道中将恶意代码植入常用的程序库中，该库由生产系统中运行时会调用

6、代码访问生产并直接更改应用程序代码，无需任何校验。流程控制机制不足 PHP官方公布，其服务器被攻击。攻击者伪造PHP编程语言作者和软件开发者的账号，进行了两次恶意代码提交，植入了远程代码执行的后门。流程控制机制不足-PHP后门案例 攻击者拥有开发者访问源代码的权限，但没有对构建环境的访问权限，通过源代码来向构建流程配置文件中注入恶意代码或命令，从而操纵构建过程，实质上“毒化”了流程，并在构建过程中运行恶意代码。中毒管道执行（PPE）PPE风险具体有三种主要类型：Direct(D-PPE)【直接】Jenkinsfile、.gitlab-ci.ymlIndirect(I-PPE)【间接】Makef