Ein Pionier in Cloud-Native-Security hat Tausende offengelegter Registries und Artefakt-Repositories entdeckt, die über 250 Millionen Artefakte und über 65.000 Container-Images enthalten.
Viele dieser Artefakte und Images enthielten hochvertraulichen und sensiblen proprietären Code sowie „Secrets“. Aquas Team von IT-Sicherheitsforschern, Team Nautilus, konnte falsche Konfigurationen nachweisen, die weltweit Tausende Unternehmen aller Größenordnungen gefährdeten – darunter fünf aus den Fortune-500 sowie zwei große IT-Sicherheitsanbieter. Bei IBM war beispielsweise eine interne Container-Registry dem Internet ausgesetzt: Nachdem Nautilus-Forscher das dortige Security-Team informierten, wurden der Internetzugang zu diesen Umgebungen geschlossen und die Risiken minimiert. Aqua hat die Security-Teams der potenziell betroffenen Unternehmen – darunter Alibaba und Cisco – informiert.
Software-Supply-Chain
Registries und Artefakt-Verwaltungssysteme sind entscheidende Elemente innerhalb der Software-Supply-Chain – und damit ein bevorzugtes Ziel für Cyber-Kriminelle. Viele Unternehmen öffnen ihre Container- und Artefakt-Registries zwar absichtlich für die Außenwelt. Sie sind sich aber manchmal der Gefahren nicht bewusst oder sind nicht in der Lage, sensible Informationen und so genannte Secrets zu kontrollieren. Wenn es Angreifern gelingt, darauf Zugriff zu erhalten, können sie die komplette Tool-Chain des Lebenszyklus der Software-Entwicklung und die darin gespeicherten Artefakte ausnutzen.
Konkret entdeckte Aqua über 250 Millionen Artefakte und über 65.000 Container-Images, die offengelegt wurden – über Tausende falsch konfigurierter Container-Images, Container-Image-Registries („Red Hat Quay“) sowie Artefakten-Registries („JFrog Artifactory“ und „Sonatype Nexus“).
Die Untersuchung ergab auch, dass es Unternehmen in einigen Fällen versäumt haben, die hochkritischen Umgebungen ordnungsgemäß zu sichern. In anderen Fällen gelangten sensible Informationen in Open-Source-Bereiche, so dass diese Umgebungen dem Internet ausgesetzt und anfällig für Angriffe sind. Dies kann zu ernsthaften Angriffen führen.
Untersuchungsergebnisse
- Die Security-Forscher fanden sensible Schlüssel (einschließlich Secrets, Anmeldeinformationen oder Tokens) auf 1.400 verschiedenen Hosts – ebenso wie private sensible Adressen von Endpunkten (wie Redis, MongoDB, PostgreSQL oder MySQL) auf 156 Hosts.
- Sie entdeckten 57 Registries mit kritischen Fehlkonfigurationen, von denen 15 den Administratorzugriff mit dem Standardpasswort erlaubten.
- Sie fanden außerdem mehr als 2.100 Artefakt-Registries mit Upload-Berechtigungen, die es einem Angreifer ermöglichen könnten, die Registries mit bösartigem Code zu vergiften. In einigen Fällen ermöglichte der anonyme Benutzerzugriff potenziellen Angreifern den Zugriff auf vertrauliche Informationen (wie Secrets, Schlüssel und Passwörter), die verwendet werden könnten, um einen schwerwiegenden Angriff auf die Software-Supply-Chain auszuführen oder den Software-Entwicklungslebenszyklus zu vergiften.
Empfehlungen für Security-Teams
Security-Teams betroffener Unternehmen sollten sofort folgende Maßnahmen ergreifen:
- Sie sollten grundsätzlich prüfen, ob Registries oder Artefakt-Verwaltungssysteme mit dem Internet verbunden sind.
- Wenn die Registry absichtlich mit dem Internet verbunden ist, gilt es zu prüfen, ob die Version keine kritisch Sicherheitslücke aufweist und ob nicht das Standardpasswort verwendet wird.
- Die Passwörter müssen stark genug sein und regelmäßig gewechselt werden.
- Der Zugriff für anonyme Benutzer sollte deaktiviert sein. Wenn dieser Zugriff absichtlich aktiviert ist, sollten diese nur minimale Berechtigungen erhalten.
- Öffentliche Artefakte in einem Repository sollten regelmäßig gescannt werden, um sicherzustellen, dass sie keine Secrets oder vertrauliche Informationen enthalten.
- Und schließlich sollten sie alle Secrets ändern, die möglicherweise offengelegt wurden.
Offenlegung von Schwachstellen
Nur wenige Unternehmen, so das Ergebnis der Nautilus-Untersuchung, haben ein Programm zur verantwortungsvollen Offenlegung von Schwachstellen. Diese Programme sind wichtige Instrumente: Sie ermöglichen es den IT-Sicherheits-Teams, potenzielle Schwachstellen auf strukturierte Weise zu melden, damit ihr Unternehmen das Problem schnell beheben kann, bevor es kompromittiert wird.
Nautilus fand auch heraus, dass Unternehmen mit bestehenden Programmen zur Offenlegung von Sicherheitslücken Fehlkonfigurationen in weniger als einer Woche beheben konnten. Für Unternehmen ohne ein solches Programm war der Prozess schwieriger und zeitaufwändiger.
Assaf Morag, leitender Bedrohungsforscher bei Aqua Nautilus, erläutert: „Wir begannen unsere Forschung mit dem Ziel, Fehlkonfigurationen in Registries besser zu verstehen, mehr über die die Unternehmen herauszufinden, die hinter diesen Fehlkonfigurationen stehen – und zu sehen, wie ein geschickter Angreifer die ungeschützten und fehlkonfigurierten Registries ausnutzen würde. Die Ergebnisse waren sowohl überraschend als auch höchst besorgniserregend. Angesichts des Ausmaßes der von uns aufgedeckten Risiken haben wir die Security-Teams der betroffenen Unternehmen nach dem üblichen Prozedere informiert.
Mehr bei Aquasec.com
Über Aqua Security Aqua Security ist der größte Anbieter für reine cloud native Security. Aqua gibt seinen Kunden die Freiheit, Innovationen voranzutreiben und ihre digitale Transformation zu beschleunigen. Die Aqua-Plattform bietet Prävention, Erkennung und Reaktionsautomatisierung über den gesamten Lebenszyklus von Anwendungen, um die Lieferkette, die Cloud-Infrastruktur und laufende Workloads zu sichern – unabhängig davon, wo sie eingesetzt werden.
Passende Artikel zum Thema