Un pionero en la seguridad nativa de la nube ha descubierto miles de registros expuestos y repositorios de artefactos que contienen más de 250 millones de artefactos y más de 65.000 XNUMX imágenes de contenedores.
Muchos de estos artefactos e imágenes contenían "secretos" y códigos patentados altamente confidenciales y sensibles. El equipo de investigadores de seguridad de TI de Aqua, Team Nautilus, descubrió errores de configuración que ponen en riesgo a miles de empresas de todos los tamaños en todo el mundo, incluidas cinco de Fortune 500 y dos importantes proveedores de seguridad de TI. En IBM, por ejemplo, un registro de contenedor interno quedó expuesto a Internet: después de que los investigadores de Nautilus informaran al equipo de seguridad local, se cerró el acceso a Internet a estos entornos y se minimizaron los riesgos. Aqua ha informado a los equipos de seguridad de las empresas potencialmente afectadas, incluidas Alibaba y Cisco.
cadena de suministro de software
Los registros y los sistemas de gestión de artefactos son elementos críticos dentro de la cadena de suministro de software, lo que los convierte en un objetivo principal para los ciberdelincuentes. Muchas empresas abren sus registros de contenedores y artefactos al mundo exterior a propósito. Sin embargo, a veces no son conscientes de los peligros o no pueden controlar la información confidencial y los llamados secretos. Si los atacantes logran acceder a él, pueden explotar toda la cadena de herramientas del ciclo de vida del desarrollo de software y los artefactos almacenados en ella.
Específicamente, Aqua descubrió más de 250 millones de artefactos y más de 65.000 XNUMX imágenes de contenedores expuestas: más de miles de imágenes de contenedores mal configuradas, registros de imágenes de contenedores ("Red Hat Quay") y registros de artefactos ("JFrog Artifactory" y "Sonatype nexus").
La investigación también encontró que, en algunos casos, las empresas no aseguraron adecuadamente los entornos altamente críticos. En otros casos, la información confidencial ha ingresado a áreas de código abierto, dejando estos entornos expuestos a Internet y vulnerables a ataques. Esto puede conducir a ataques graves.
resultados de la investigación
- Los investigadores de seguridad encontró claves confidenciales (incluidos secretos, credenciales o tokens) en 1.400 hosts diferentes, así como direcciones privadas confidenciales de puntos finales (como Redis, MongoDB, PostgreSQL o MySQL) en 156 hosts.
- Descubrieron 57 registros con errores de configuración críticos, 15 de los cuales permitían el acceso de administrador con la contraseña predeterminada.
- También encontraron Más de 2.100 registros de artefactos con permisos de carga que podrían permitir a un atacante envenenar los registros con código malicioso. En algunos casos, el acceso de usuarios anónimos les dio a los atacantes potenciales acceso a información confidencial (como secretos, claves y contraseñas) que podría usarse para lanzar un ataque serio en la cadena de suministro de software o envenenar el ciclo de vida de desarrollo de software.
Recomendaciones para los equipos de seguridad
Los equipos de seguridad de las organizaciones afectadas deben tomar las siguientes medidas de inmediato:
- Siempre debes revisarsi los registros o los sistemas de gestión de artefactos están conectados a Internet.
- Si el registro conectado intencionalmente a Internet, es importante verificar si la versión no tiene vulnerabilidades de seguridad críticas y si se está utilizando la contraseña predeterminada.
- las contraseñas debe ser lo suficientemente fuerte y cambiarse regularmente.
- Acceso para usuarios anónimos debe estar deshabilitado. Si este acceso se habilita intencionalmente, se les debe otorgar privilegios mínimos.
- Artefactos públicos en un repositorio deben escanearse regularmente para asegurarse de que no contengan secretos o información confidencial.
- Y finalmente deben cambiar los secretos que puedan haber sido revelados.
Divulgación de vulnerabilidad
Según el estudio de Nautilus, pocas empresas cuentan con un programa responsable de divulgación de vulnerabilidades. Estos programas son herramientas importantes: permiten a los equipos de seguridad de TI informar sobre posibles vulnerabilidades de manera estructurada para que su organización pueda solucionar rápidamente el problema antes de que se vea comprometido.
Nautilus también descubrió que las empresas con programas de divulgación de vulnerabilidades existentes podían corregir errores de configuración en menos de una semana. Para las empresas que no tenían dicho programa, el proceso era más difícil y requería más tiempo.
Assaf Morag, investigador sénior de amenazas en Aqua Nautilus, explica: "Comenzamos nuestra investigación con el objetivo de comprender mejor las configuraciones incorrectas del registro, obtener más información sobre las empresas detrás de estas configuraciones incorrectas y ver cómo un atacante experto podría explotar registros desprotegidos y mal configurados. . Los resultados fueron sorprendentes y muy preocupantes. En vista de la magnitud de los riesgos que hemos descubierto, hemos informado a los equipos de seguridad de las empresas afectadas según el procedimiento habitual.
Más en Aquasec.com
Acerca de Aqua Security Aqua Security es el mayor proveedor de seguridad nativa pura en la nube. Aqua brinda a sus clientes la libertad de innovar y acelerar su transformación digital. Aqua Platform proporciona automatización de prevención, detección y respuesta a lo largo del ciclo de vida de la aplicación para proteger la cadena de suministro, la infraestructura de la nube y las cargas de trabajo en curso, independientemente de dónde se implementen.
Artículos relacionados con el tema