Extensies in ontwikkelomgevingen (IDE’s) zijn handige tools om developers meer beweegruimte te geven. Echter vormen ze een gevaar voor supply chain security. Uit onderzoek van OX Security blijkt dat de verificatiemechanismen van Visual Studio Code, Visual Studio en IntelliJ IDEA allemaal via extensies te omzeilen zijn.
De onderzoekers experimenteerden met Microsoft’s Visual Studio Marketplace om te zien of extensies een gevaar vormden voor de veiligheid van IDE’s. Men ontdekte dat geverifieerde extensies hun checkmark behielden na modificaties. Door serververzoeken te manipuleren bleven kwaadaardige versies hun vertrouwde status behouden. Als een kwaadwillende een vertrouwde extensie aanpast (en veel van deze extensies zijn open-source projecten), kan dit tot grote gevaren leiden.
Bij andere platforms zoals Cursor en JetBrains werkten vergelijkbare aanvalstechnieken, laten de onderzoekers weten. De bevindingen tonen dat kwaadwillenden willekeurige code kunnen uitvoeren zonder dat ontwikkelaars dit doorhebben. Daarmee is de doos van Pandora feitelijk geopend: het is aan de creativiteit van de kwaadwillenden gebonden wat zij kunnen uitvoeren op een getroffen systeem dat niet helemaal dichtgetimmerd is.
Beperkt overzicht op risico’s
Slechts één op de vijf organisaties heeft zich op hun software supply chain. Dan hebben we het over de volledige organisatie, niet alleen de developer-kant. Echter is het aanvallen van een organisatie via hun ontwikkelaars een bijzonder aantrekkelijk concept. Immers is het bij een compromis mogelijk om IP te stelen, andermans cloud credits te verbruiken of andere gevoelige interne informatie te stelen.
Het gebrek aan overzicht speelt organisaties parten, en dat gold al voordat deze kwetsbaarheid door OX Security werd blootgelegd. Bijna de helft van organisaties met vitale infrastructuur heeft onvoldoende zicht op cybersecuritykwetsbaarheden in hun supply chain. Dit probleem verergert doordat ontwikkelaars vaak bevoorrechte toegang hebben tot bedrijfssystemen.
“Het volstaat dat één ontwikkelaar één van deze extensies downloadt”, waarschuwt onderzoeker Moshe Siman-Tov Bustan. Een aanvaller hoeft geen complexe lateral movement uit te voeren; het lezen van vertrouwelijke code is al voldoende om schade aan te richten.
Vendoren zien geen prioriteit
De reacties van Microsoft, JetBrains en Cursor waren niet al te enthousiast, meldt Dark Reading. Microsoft stelde dat het onderzoek niet voldeed aan criteria voor directe actie. Cursor erkende dat het extensiesignaturen helemaal niet verifieert. JetBrains wees erop dat kwaadaardige extensies niet uit hun officiële marketplace kwamen.
OX Security adviseert organisaties om multifactor-verificatie voor extensie-ondertekening in te voeren. Verder mogen alleen door de markt ondertekende extensies geïnstalleerd worden. Het valideren van bestandshashes per extensie biedt extra zekerheid.
Voor extensiebouwers gelden aanvullende aanbevelingen. Code-signing-integriteit en certificaatverificatie voorkomen man-in-the-middle-aanvallen. Gezien de groeiende geopolitieke spanningen is dit soort voorzorgsmaatregelen belangrijker dan ooit.