Cette semaine, nous avons des nouvelles d’une vulnérabilité de criticité élevée sur GoCD, un système CI/CD open source commun, permettant aux attaquants de détourner les secrets des chaînes d’approvisionnement en aval. Il existe également un excellent article sur le parcours de Raiffeisen Bank International vers la sécurité du cycle de vie complet des API, un autre article sur la manière dont la sécurité des API entrave la livraison des applications et un rapport sur l’expansion continue des API par F5.
Vulnérabilité : la vulnérabilité populaire de la plate-forme GoCD CI/CD divulguée
Cette semaine, SonarSource a mis en garde contre une vulnérabilité très critique dans le système CI/CD open source commun, GoCD. La vulnérabilité pourrait permettre aux attaquants d’accéder aux données critiques du pipeline, y compris les secrets tels que les jetons d’API ou les informations d’identification pour les éléments de la chaîne d’approvisionnement en aval.
La vulnérabilité était causée par des lacunes dans la façon dont les agents de construction GoCD (alias les travailleurs) s’authentifiaient auprès du maître GoCD, ce qui permettait d’insérer de faux agents dans un pipeline. Une fois qu’un agent avait été inscrit dans un pipeline, il avait alors accès à tous les jetons et secrets du pipeline CI/CD, ainsi qu’à la possibilité d’exécuter du code arbitraire dans le contexte du pipeline.
Bien que les organisations déploient généralement des agents de build sur des réseaux internes où ils sont protégés contre l’usurpation d’identité par des agents malveillants, il existe plusieurs centaines d’instances de GoCD exposées à Internet.
Les versions affectées de GoCD vont de v20.6.0 à v21.2.0, et la vulnérabilité a été résolue dans la version v21.3.0, donc si vous êtes affecté, corrigez le vôtre dès que possible.
L’essentiel à retenir ici est que le système CI/CD est un élément vital de l’infrastructure de la chaîne d’approvisionnement et doit être protégé à divers niveaux. 2022 est susceptible de devenir l’année des attaques de la chaîne d’approvisionnement !
Étude de cas : Raiffeisen Bank International sur son cheminement vers la sécurité des API du cycle de vie complet
SecurityBoulevard a présenté une excellente étude de cas de Raiffeisen Bank International (RBI) basée sur un entretien avec Peter Gerdenitsch, Group CISO chez RBI.
Gerdenitsch décrit comment RBI est passé à une structure agile dirigée par le produit en 2019. Cette transition comprenait le rôle de champion de la sécurité au sein de chacune des équipes DevSecOps du produit :
Les champions de la sécurité dirigent tous les aspects de la sécurité des produits au sein de leur unité commerciale. Un point clé du rôle est qu’il s’agit d’un rôle dirigé par des bénévoles. L’expérience de RBI était qu’ils ne manquaient pas de bénévoles et qu’ils suscitaient beaucoup d’intérêt de la part d’une variété de disciplines au sein de l’organisation. Comme pour de nombreux programmes populaires de Security Champion, RBI a choisi d’utiliser le système de ceinture d’arts martiaux, illustré ci-dessous :
En termes de sécurité des API, le niveau de ceinture bleue comprenait des cours spécialisés uniquement sur la sécurité des API et au niveau de ceinture noire, l’accent était mis sur les compétences pratiques de pentest manuel.
En ce qui concerne les API, RBI disposait d’un vaste domaine : 100 API externes dans le cadre de la directive sur les services de paiement (PSD), plus un millier d’API internes ou plus en plus de cela. Comme c’est souvent le cas dans les grandes organisations, RBI a constaté qu’il lui manquait un inventaire complet de ses API. Ils ont résolu ce problème avec le Centre d’excellence d’intégration en temps réel (RICE), qui agissait comme une couche de gestion centrale pour toutes les API de RBI. Une autre approche clé consistait à s’assurer que le propriétaire du produit et les équipes de sécurité informatique étaient impliqués dans la sécurisation de leurs API.
Cette étude de cas est une lecture hautement recommandée pour tous ceux qui souhaitent faire évoluer leurs initiatives de sécurité des API, et particulièrement utile pour les responsables de la sécurité et AppSec chargés d’intégrer la sécurité des API dans leur portefeuille de couverture.
Article : La sécurité des API entrave la livraison des applications
DarkReading a publié un article expliquant pourquoi la sécurité des API entrave la livraison des applications.
Selon les recherches de Cloudentity, les principales conclusions sont que presque toutes les organisations ont connu des retards dans la publication de nouvelles applications ou mises à jour en raison de problèmes de sécurité de leur environnement API. Environ 44% d’entre eux déclarent avoir rencontré des problèmes de sécurité des API, tels que des fuites de données et l’exposition d’informations privées.
Comme on pouvait s’y attendre, les raisons les plus fréquemment citées pour cette situation sont :
- Les coûts financiers élevés associés à la sécurité des API
- Les exigences de délais de livraison des applications plus rapides
- Un manque de sensibilisation à la sécurité des API
Le rapport conclut que la sécurité des API devrait faire l’objet d’une attention et d’une attention accrues et, en conséquence, d’une augmentation des budgets dans les années à venir.
Rapport : F5 détaillant l’expansion continue des API
Enfin cette semaine, un bref article de HelpNetSecurity sur un récent rapport F5 détaillant la prolifération continue des API. Selon le rapport:
« Nous estimons que le nombre d’API publiques et privées approche aujourd’hui les 200 millions, et d’ici 2031, ce nombre pourrait se chiffrer en milliards »
Les raisons de l’étalement accru indiqué dans le rapport sont les suivantes :
- Un manque de normes mondiales conduisant à la ré-implémentation des API
- La croissance des microservices
- Augmentation des cadences de sortie du logiciel
- Interopérabilité accrue requise au sein des grandes entreprises
- Unités commerciales cloisonnées qui dupliquent l’effort
L’expansion croissante entraîne des problèmes de fonctionnement et de sécurité accrus, ce qui en fait un élément à surveiller en termes de sécurité des API.
Vous pouvez vous inscrire à cette newsletter sur APIsecurity.io.