浏览器供应链攻击(即在最终用户的 Web 浏览器中运行的第三方脚本被注入恶意漏洞)仍然是一个未被充分重视且安全性不足的威胁,尽管其流行程度不断加速。 首次展示了这些浏览器端攻击的破坏力。航空公司一直是热门目标,易捷航空和欧洲航空遭受了类似的攻击。但他们并不是唯一遭受攻击的航空公司。就在最近,保险巨头 Kaiser Permanente ,影响了数百万现任和前任保险会员。 英国航空公司数据泄露的警示故事 公开宣布了一起源于第三方浏览器脚本的数据泄露事件 对于工程师来说,防范这种威胁载体比以往任何时候都更为紧迫,而忽视浏览器供应链漏洞风险的组织将面临危险。这就是为什么英国航空事件仍然与企业网络安全战略如此相关,以及如何防范类似威胁。 攻击者利用了安全漏洞 在英国航空公司的泄密事件中,任何在英国航空公司官方网站上输入信用卡信息进行购买的客户,其敏感数据都会被恶意浏览器端脚本复制并发送到攻击者控制的域中。当该航空公司最终注意到这一难以察觉的威胁时,已有超过 40 万名客户的个人数据被泄露,导致英国信息专员办公室 (ICO) 监管机构创纪录地处以 1.83 亿英镑以上的罚款。 该事件的起因可以追溯到最初的一次入侵,当时攻击者使用货运服务提供商 Swissport 员工的被盗凭证登录了英国航空公司的系统。该账户缺乏多因素身份验证保护,允许攻击者登录 Citrix 远程访问环境,并扩大其访问权限,超越将远程用户限制在网络安全区域的限制。 随后,攻击者引入工具来探测整个网络是否存在其他漏洞;他们很快发现了一个未加密的纯文本文件,其中包含域管理员的登录凭据。这为攻击者打开了一扇大门,可以访问域中的计算机和服务器、更改配置设置并操纵网络资源。他们开始登录服务器,第二天发现了数据库管理员的登录凭据,并继续耐心地在闲暇时探索可用的数据。 攻击者发现日志文件包含 的详细信息,全部以 形式存储。由于测试功能意外开启,这些数据本不应该被存储,当然也不是完全不安全的。攻击者随后发现了包含英国航空公司网站代码的文件,这为他们准备浏览器供应链攻击提供了所有机会。 108,000 张支付卡 纯文本 了解浏览器供应链攻击的构造 作为其策略的一个关键重点,攻击者购买了 baways dot com,这是一个可用的域名,很容易被误认为是该公司的官方网址。虽然该域名使用立陶宛托管服务提供商,并由罗马尼亚托管,但英国航空公司没有能够向安全人员发出警报的监控系统。 现代网站开发利用来自第三方来源的大量脚本来实现用户期望的交互性和高级功能。由第三方脚本支持的功能包括聊天机器人、营销和分析工具以及验证码等安全措施等。但这些脚本对于公司来说尤其难以监控和保护,因为它们通常由外部托管和管理。第三方供应商方面的一个简单漏洞或错误可能会导致安全事件。在这些供应商缺乏提供安全代码的专业知识的情况下,或者业务和人员变动导致脚本无人维护和监控的情况下,风险可能会变得极端。 入侵发生时,英国航空公司的网站加载了大约 20 个第三方脚本(包括预订页面在内共有 30 个)。网站访问者的浏览器收到来自网站的请求,要求从外部来源获取并执行代码。这是标准做法,浏览器的设计无法判断脚本或它们发送数据的端点是否合法。攻击者将恶意代码注入 Modernizr JavaScript 库,这是一个常见的脚本,可帮助检测浏览器功能以优化体验。这个被入侵的脚本版本由英国航空公司的网络服务器提供,它将所有客户提交的数据的副本发送到攻击者的网站。 就这样,在大约三周的时间里,英国航空网站上输入的所有支付卡信息都被攻击者窃取了。尽管敏感信息是由他们自己的浏览器发送出去的,但客户当时却完全不知情。攻击者非常聪明,他们保持了正常的网络体验和延迟,让他们的数据窃取在数周内对用户和安全人员都透明。 数周后,当第三方终于意识到并通知英国航空有关违规行为时,该公司采取了正确的措施。不到两个小时,安全团队就消除了恶意代码,并屏蔽了假冒网站。客户、处理付款的银行和 ICO 都及时收到了通知。但损失已经造成。该航空公司的声誉受到打击,随后受到创纪录的监管处罚,集体诉讼后来庭外和解。虽然后来由于该公司迅速承担责任(并与疫情救助有关)而减轻了处罚,但这是任何人都会急于避免的事件。 威胁即将来临的预兆 需要明确的是,很难在此次事件中挑出英国航空的安全问题:当时根本没有可靠地检测通过第三方脚本传递的恶意负载的浏览器供应链攻击所需的工具。与此同时,后续事件(如 (影响了 17,000 个站点))表明黑客找到了他们喜欢的漏洞。即使在今天,大多数组织的安全态势仍然缺乏对这些攻击的可见性。虽然一般的 IT 安全保护措施现在引起了前所未有的关注,但浏览器供应链攻击日益增加的威胁仍然在很大程度上没有得到充分保护,或者仅满足最低限度的合规性要求。 Magecart 攻击 但是,现在已有安全功能可以为团队提供针对这些攻击的强大防御。有效的浏览器供应链安全的关键在于能够 第三方脚本的内容,并利用旨在立即删除恶意脚本的策略。考虑到这些攻击的动态性质,仅审查脚本来源的一次性审查或监控是不够的。也就是说,团队应该选择最安全的第三方来源,同时不断验证这种信任。团队还应该实践良好的安全习惯,并通过主动从任何页面中删除不需要的服务和脚本来强化他们的环境——尤其是在支付门户等敏感页面上。 监控和持续审查 紧急的安全需求 随着网站越来越多地利用第三方脚本为用户的浏览器带来现代化体验,攻击者只会发现更多的机会。团队可以吸取英国航空公司遭受的攻击等教训,立即采取措施全面保护其浏览器供应链,或者以惨痛的经历吸取教训。
