Un pionnier de la sécurité cloud native a découvert des milliers de registres exposés et de référentiels d'artefacts contenant plus de 250 millions d'artefacts et plus de 65.000 XNUMX images de conteneurs.
Bon nombre de ces artefacts et images contenaient un code propriétaire et des « secrets » hautement confidentiels et sensibles. L'équipe de chercheurs en sécurité informatique d'Aqua, Team Nautilus, a découvert des erreurs de configuration qui mettent en danger des milliers d'entreprises de toutes tailles dans le monde, dont cinq du Fortune 500 et deux grands fournisseurs de sécurité informatique. Chez IBM, par exemple, un registre de conteneurs interne a été exposé à Internet : après que les chercheurs de Nautilus ont informé l'équipe de sécurité locale, l'accès Internet à ces environnements a été fermé et les risques minimisés. Aqua a informé les équipes de sécurité des entreprises potentiellement concernées, notamment Alibaba et Cisco.
chaîne d'approvisionnement de logiciels
Les registres et les systèmes de gestion des artefacts sont des éléments essentiels de la chaîne d'approvisionnement des logiciels, ce qui en fait une cible de choix pour les cybercriminels. De nombreuses entreprises ouvrent délibérément leurs registres de conteneurs et d'artefacts au monde extérieur. Cependant, ils sont parfois inconscients des dangers ou incapables de contrôler les informations sensibles et les soi-disant secrets. Si les attaquants parviennent à y accéder, ils peuvent exploiter l'ensemble de la chaîne d'outils du cycle de vie du développement logiciel et les artefacts qui y sont stockés.
Plus précisément, Aqua a découvert plus de 250 millions d'artefacts et plus de 65.000 XNUMX images de conteneurs exposées - plus de milliers d'images de conteneurs mal configurées, de registres d'images de conteneurs ("Red Hat Quay") et de registres d'artefacts ("JFrog Artifactory" et "Sonatype nexus").
L'enquête a également révélé que, dans certains cas, les entreprises n'avaient pas correctement sécurisé les environnements hautement critiques. Dans d'autres cas, des informations sensibles sont entrées dans des zones open source, laissant ces environnements exposés à Internet et vulnérables aux attaques. Cela peut entraîner de graves attaques.
résultats d'enquête
- Les chercheurs en sécurité trouvé des clés sensibles (y compris des secrets, des informations d'identification ou des jetons) sur 1.400 156 hôtes différents - ainsi que des adresses privées sensibles de points de terminaison (comme Redis, MongoDB, PostgreSQL ou MySQL) sur XNUMX hôtes.
- Ils ont découvert 57 registres avec des erreurs de configuration critiques, dont 15 ont permis un accès administrateur avec le mot de passe par défaut.
- Ils ont trouvé aussi Plus de 2.100 XNUMX registres d'artefacts avec des autorisations de téléchargement qui pourraient permettre à un attaquant d'empoisonner les registres avec du code malveillant. Dans certains cas, l'accès utilisateur anonyme a permis aux attaquants potentiels d'accéder à des informations sensibles (telles que des secrets, des clés et des mots de passe) qui pourraient être utilisées pour lancer une attaque sérieuse sur la chaîne d'approvisionnement logicielle ou empoisonner le cycle de vie du développement logiciel.
Recommandations pour les équipes de sécurité
Les équipes de sécurité des organisations concernées doivent immédiatement prendre les mesures suivantes :
- Vous devriez toujours vérifiersi les registres ou les systèmes de gestion des artefacts sont connectés à Internet.
- Si le registre intentionnellement connecté à Internet, il est important de vérifier si la version ne présente pas de failles de sécurité critiques et si le mot de passe par défaut est utilisé.
- les mots de passe doit être suffisamment solide et changé régulièrement.
- Accès pour les utilisateurs anonymes doit être désactivé. Si cet accès est intentionnellement activé, ils doivent recevoir des privilèges minimaux.
- Artefacts publics dans un référentiel doivent être analysés régulièrement pour s'assurer qu'ils ne contiennent aucun secret ou information sensible.
- et enfin ils doivent changer tous les secrets qui ont pu être divulgués.
Divulgation des vulnérabilités
Selon l'étude Nautilus, peu d'entreprises ont mis en place un programme responsable de divulgation des vulnérabilités. Ces programmes sont des outils importants : ils permettent aux équipes de sécurité informatique de signaler les vulnérabilités potentielles de manière structurée afin que leur organisation puisse rapidement résoudre le problème avant qu'il ne soit compromis.
Nautilus a également constaté que les entreprises disposant de programmes de divulgation des vulnérabilités étaient capables de corriger les erreurs de configuration en moins d'une semaine. Pour les entreprises qui ne disposaient pas d'un tel programme, le processus était plus difficile et prenait plus de temps.
Assaf Morag, chercheur principal sur les menaces chez Aqua Nautilus, explique : « Nous avons commencé nos recherches dans le but de mieux comprendre les erreurs de configuration des registres, d'en savoir plus sur les entreprises à l'origine de ces erreurs de configuration et de voir comment un attaquant qualifié pourrait exploiter des registres non protégés et exploiterait des registres mal configurés. . Les résultats étaient à la fois surprenants et très inquiétants. Compte tenu de l'ampleur des risques que nous avons découverts, nous avons informé les équipes de sécurité des sociétés concernées selon la procédure habituelle.
Plus sur Aquasec.com
À propos d'Aqua Sécurité Aqua Security est le plus grand fournisseur de sécurité natif pur cloud. Aqua donne à ses clients la liberté d'innover et d'accélérer leur transformation numérique. La plate-forme Aqua fournit une automatisation de la prévention, de la détection et de la réponse tout au long du cycle de vie des applications pour sécuriser la chaîne d'approvisionnement, l'infrastructure cloud et les charges de travail en cours, quel que soit l'endroit où elles sont déployées.
Articles liés au sujet