Атаки на CI/CD и DevOps-среды: типовые векторы, методы эксплуатации и защита
Главная » Аналитика » Анализ угроз
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412
13 Ноября 2025 - 16:49

Атаки на CI/CD-конвейеры и DevOps-среды

Аватар пользователя Оксана Гриднева
Оксана Гриднева
Обозреватель Anti-Malware.ru
Вверх
Проголосовало: 26, включая Вас
...
Атаки на CI/CD-конвейеры и DevOps-среды

CI/CD‑конвейеры и DevOps‑среды — сердце процессов разработки и развёртывания ПО. Именно здесь сосредоточены исходный код, ключи, артефакты и процессы публикации, что делает их привлекательной целью для злоумышленников. Даже одна уязвимость может дать полный контроль над процессом разработки.

 

 

 

 

 

 

  1. Введение
  2. Типовые векторы атак
    1. 2.1. Репозитории кода
    2. 2.2. Серверы сборки
    3. 2.3. Управление секретами, артефактами, токенами
    4. 2.4. Среда развёртывания
    5. 2.5. Системы мониторинга и журналирования
    6. 2.6. Внешние интеграции и API
  3. Методы эксплуатации и закрепления в инфраструктуре
  4. Чек-лист для ИБ по защите от атак на CI/CD-конвейеры и DevOps-среды
  5. Выводы

Введение

Внедрение конвейеров непрерывной интеграции и доставки (CI/CD) позволяет автоматизировать рутинные операции, ускорять обратную связь и повышать качество программного продукта. Процессы выполняются автоматически: разработчик получает информацию о проблемах в коде через минуты после коммита, а не через недели на этапе релиза, а частые мелкие изменения становится легче тестировать и отлаживать. Это делает цикл разработки более предсказуемым и уменьшает время вывода функций в эксплуатацию.

Сегодня CI/CD‑конвейеры применяются практически во всех организациях, даже если основной бизнес далёк от разработки программного обеспечения (ПО). Они тесно связаны с инфраструктурой DevOps — средой, объединяющей разработку, тестирование и эксплуатацию приложений. Для достижения максимальной выгоды в рамках конвейеров реализуют множество интеграций и автоматизаций. Эти взаимосвязи формируют цепочку неочевидных зависимостей, что затрудняет её оценку с точки зрения информационной безопасности (ИБ).

Многие элементы методологии DevOps создают дополнительные векторы угроз. Автоматизация процессов доставки, работа с микросервисами и контейнерами формируют множество «подкапотных» компонентов, каждый из которых увеличивает площадь атаки. Злоумышленники могут использовать для своих целей и сами инструменты DevOps: серверы сборки, оркестраторы контейнеров, репозитории кода и другие сервисы инфраструктуры, что делает каждый элемент потенциальной точкой проникновения.

Вследствие такой сложности и взаимозависимости компонентов, уровень воздействия уязвимостей в этих интеграциях часто недооценивают. Даже локальная ошибка конфигурации или компрометация одного элемента может привести к серьёзным последствиям: остановка «прода», утечка баз данных, подмена сборок и сопутствующие инциденты.

Типовые векторы атак

Практика показывает, что атаки на CI/CD-конвейеры и DevOps-среды происходят регулярно и могут иметь серьёзные последствия. Один из показательных примеров — инцидент в экосистеме JavaScript, когда в результате фишинговой атаки злоумышленники получили доступ к аккаунту популярного мейнтейнера (специалиста по сопровождению или пакетированию свободного ПО) npm-пакетов Джоша Джунона (Qix) и внедрили вредоносный код в ряд библиотек, суммарно загружаемых более 2,6 миллиарда раз в неделю.

 

Рисунок 1. Фишинговое письмо с поддельного домена npmjs.help

Фишинговое письмо с поддельного домена npmjs.help

 

Ещё один пример — когда одна из уязвимостей GitLab позволяла изменять пароли аккаунтов без участия их владельцев. Не менее известен случай с SolarWinds, где компрометация систем сборки и доставки обновлений ПО привела к масштабным последствиям в цепочке поставок (supply chain) и показала, насколько критичными могут быть атаки на CI/CD-процессы. Среди заразившихся бэкдором Solorigate (или SUNBURST) оказались и ИТ-гиганты — Microsoft и FireEye.

Инциденты демонстрируют, что уязвимости в цепочке разработки и доставки кода могут возникать на любом этапе^ от хранилищ исходного кода до инфраструктуры развёртывания и внешних интеграций. Даже при высокой степени автоматизации и использовании проверенных инструментов сохраняются участки, требующие повышенного внимания со стороны специалистов по ИБ.

Репозитории кода

Открытые или слабо защищённые репозитории содержат исходный код, токены и конфигурационные файлы. Злоумышленники могут использовать их для анализа кода на наличие уязвимостей, внедрения вредоносных зависимостей или прямого изменения файлов конвейеров непрерывной интеграции и непрерывной доставки: например, .gitlab-ci.yml и Jenkinsfile. Эти сценарии включают атаки через внешние зависимости и компрометацию supply chain (цепочки поставок), когда вредоносный пакет попадает в сборку ещё до её выполнения.

Серверы сборки

Плагины и расширения таких систем, как Jenkins, GitLab CI/CD или TeamCity, облегчают автоматизацию, но устаревшие или неправильно настроенные компоненты способны предоставить злоумышленникам возможности для удалённого выполнения команд, доступа к секретам и изменения конфигураций пайплайна (последовательности связанных шагов или процессов, которые выполняются в определённом порядке для достижения цели).

Управление секретами, артефактами, токенами

Секреты, встроенные в переменные окружения, файлы конфигурации или логи пайплайнов, при неправильной конфигурации или недостаточной изоляции становятся прямым ключом к инфраструктуре, учётным записям и др. Компрометация хранилищ предоставляет злоумышленнику возможность внедрять вредоносные артефакты, получать доступ к внутренним системам или управлять развёртыванием.

Среда развёртывания

На этапе развёртывания артефакты, созданные на сервере сборки, поступают в тестовые, предпродакшн или продуктивные системы. Неправильно настроенные права доступа, открытые интерфейсы управления и отсутствие сегментации окружений позволяют злоумышленнику перехватывать артефакты, внедрять вредоносный код, изменять конфигурации сервисов и перемещаться внутри инфраструктуры. Атаки на этом этапе опасны тем, что они напрямую воздействуют на конечные системы и данные, обходя этапы контроля качества и тестирования, и могут приводить к нарушению конфиденциальности, целостности и доступности сервисов.

Системы мониторинга и журналирования

Эти системы злоумышленники используют для сокрытия своих следов, включая изменение или удаление событий, а также для получения доступа к данным наблюдения, на основе которых можно восстановить структуру инфраструктуры и процессы развёртывания. Компрометация таких систем позволяет нарушить контроль целостности и затруднить последующее расследование инцидента.

Внешние интеграции и API

DevOps‑среды тесно интегрированы с системами мониторинга, тестирования, уведомлений и облачной инфраструктурой. Каждая из этих интеграций может стать точкой входа при недостаточном уровне аутентификации или неправильно настроенных правах доступа. В случае компрометации webhooks (механизма автоматической отправки HTTP-запросов), автоматических деплой‑скриптов (скриптов для размещения и запуска приложения на сервере) или облачных ключей атакующий получает возможность влиять на весь процесс доставки ПО.

Методы эксплуатации и закрепления в инфраструктуре

Атакующие, получившие первоначальный доступ к элементу DevOps‑среды, применяют методы быстрой и скрытой интеграции в процесс сборки и доставки. Один из часто используемых векторов — модификация скриптов пайплайна, в частности, файлов конфигурации CI/CD. Изменение логики выполнения задач в конвейере позволяет злоумышленнику выполнять произвольные действия в среде сборки:

  • получать доступ к артефактам и секретам;
  • внедрять значения в переменные окружения;
  • подключать сторонние плагины;
  • изменять последующие этапы сборки так, чтобы вредоносный код стабильно попадал в создаваемые пакеты.

Для закрепления в инфраструктуре злоумышленники используют перехват переменных окружения. Полученные ключи, пароли и токены сохраняются внутри среды сборки или в артефактах и применяются для долговременного присутствия: записи токенов в метаданные сборки, добавления ключей Secure Shell (SSH) в профиль пользователя или конфигурацию деплоя и т. д.

Встраивание вредоносных зависимостей реализуется через подмену или модификацию библиотек и контейнерных образов, которые автоматически подтягиваются в процессе сборки. Возможно изменение логики пайплайна для периодической реинъекции вредоносного шага, используется добавление запланированных задач или организация автоматической подгрузки подменённых пакетов через кеш и прокси‑регистры, что обеспечивает повторное распространение вредоносного кода при каждом цикле сборки.

В качестве метода закрепления атакующие используют фальшивые артефакты: публикация или загрузка поддельных пакетов и образов в реестры, прокси‑хранилища и кеши обеспечивает автоматическую подстановку этих компонентов при разрешении зависимостей и последующих сборках. Таким образом, единичная компрометация превращается в постоянную точку опоры в CI/CD и одновременно создаёт канал для повторной кражи учётных данных.

Чек-лист для ИБ по защите от атак на CI/CD-конвейеры и DevOps-среды

Предлагаем минимальный набор практических мер защиты, который помогает уменьшить риски для инфраструктуры и процессов. Рекомендации носят общий характер, так как в рамках одной статьи невозможно охватить все детали и нюансы защиты.

Их реализация должна быть частью подхода DevSecOps (интеграция безопасности в процессы разработки и эксплуатации), который представляет собой не только внедрение инструментов, но и формирование культуры безопасности: пересмотр процессов, распределение ответственности и вовлечение всех участников — от разработчиков до специалистов по информационной безопасности. Встраивание безопасности на каждом этапе CI/CD обеспечивает бизнесу предсказуемость и устойчивость процессов, что является необходимым условием масштабирования и долгосрочной защиты инфраструктуры.

Чек-лист по защите должен включать:

  1. Контроль доступа и привилегий. Применять принцип наименьших привилегий для пользователей, сервисных учётных записей и агентов сборки. Внедрять многофакторную аутентификацию и централизованное управление идентификацией (Identity Security). Регулярно проводить аудит учётных записей и прав доступа, ротацию сервисных ключей и мониторинг аномальной активности пользователей.
  2. Защита секретов, ключей. Реализовать централизованное управление секретами и токенами с ротацией и ограниченным сроком действия. Исключить вывод ключей и токенов в логах и пользовательских интерфейсах, обеспечив их маскирование. Применять шифрование при хранении и передаче, а также изоляцию хранилищ секретов для предотвращения несанкционированного доступа и утечек.
  3. Проверка кода и зависимостей. Внедрять статический анализ кода (SAST), динамический (DAST), интерактивный (RAST), анализ зависимостей и компонентов (SCA), проверку конфигураций (SCS, он же — анализ безопасности цепочек поставок ПО), а также поддерживать Software Bill of Materials (SBOM) для отслеживания всех компонентов. Различия и области их применения рассмотрели здесь.
  4. Мониторинг и аудит. Реализовать централизованное логирование, мониторинг активности пайплайнов и агентов сборки, анализ аномалий, проверку целостности артефактов и настройку уведомлений о подозрительной активности.
  5. Изоляция и сегментация среды. Разделить среды сборки, тестирования и продакшена. Изолировать агентов, ограничить сетевые коммуникации, контролировать взаимодействия с внешними ресурсами.
  6. Автоматизация безопасности. Встраивать механизмы проверки безопасности напрямую в CI/CD-процессы для постоянного контроля на всех этапах сборки и развёртывания. Автоматизировать сканирование кода, зависимостей и конфигураций, интегрируя SAST, DAST, RAST, SCA и SCS в пайплайн, чтобы выявлять уязвимости и несоответствия без ручного вмешательства. Такой подход снижает риск пропуска ошибок и обеспечивает непрерывное соблюдение требований DevSecOps.
  7. Обучение. Проводить регулярное обучение команд разработчиков и операторов, внедрять лучшие практики DevSecOps, содействовать формированию привычки безопасной работы с зависимостями и секретами.

Применение этих мер позволит уменьшить вероятность успешной атаки. Но для полной защиты необходимо дополнительно учитывать специфику инфраструктуры, используемых инструментов и процессов.

Выводы

Мотивация злоумышленников остаётся высокой, поскольку контроль над CI/CD даёт прямой доступ к исходному коду, ключам и инфраструктуре развёртывания. Поэтому вероятность роста атак против CI/CD и DevOps‑сред сохраняется, особенно при использовании избыточных прав, незащищённого хранения секретов и устаревших компонентов.

В таких условиях DevSecOps становится необходимостью: интеграция безопасности на каждом этапе пайплайна превращает её во встроенный элемент процессов, а не в постфактум‑проверку. Этот подход позволяет командам действовать быстрее и увереннее, обеспечивая защиту без излишней бюрократии и задержек релизов, снижая риски эксплуатации уязвимостей и распространения вредоносного кода.

Полезные ссылки: 
> Атака на цепочку поставок: скомпрометированы npm-пакеты с 2,6 млрд загрузок
> Уязвимость 0-click в GitLab грозит захватом аккаунта
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.