Gefährdete Artefakte und Container-Images

Gefährdete Artefakte und Container-Images

Beitrag teilen

Ein Pionier in Cloud-Native-Security hat Tausende offengelegter Registries und Artefakt-Repositories entdeckt, die über 250 Millionen Artefakte und über 65.000 Container-Images enthalten.

Viele dieser Artefakte und Images enthielten hochvertraulichen und sensiblen proprietären Code sowie „Secrets“. Aquas Team von IT-Sicherheitsforschern, Team Nautilus, konnte falsche Konfigurationen nachweisen, die weltweit Tausende Unternehmen aller Größenordnungen gefährdeten – darunter fünf aus den Fortune-500 sowie zwei große IT-Sicherheitsanbieter. Bei IBM war beispielsweise eine interne Container-Registry dem Internet ausgesetzt: Nachdem Nautilus-Forscher das dortige Security-Team informierten, wurden der Internetzugang zu diesen Umgebungen geschlossen und die Risiken minimiert. Aqua hat die Security-Teams der potenziell betroffenen Unternehmen – darunter Alibaba und Cisco – informiert.

Anzeige

Software-Supply-Chain

Registries und Artefakt-Verwaltungssysteme sind entscheidende Elemente innerhalb der Software-Supply-Chain – und damit ein bevorzugtes Ziel für Cyber-Kriminelle. Viele Unternehmen öffnen ihre Container- und Artefakt-Registries zwar absichtlich für die Außenwelt. Sie sind sich aber manchmal der Gefahren nicht bewusst oder sind nicht in der Lage, sensible Informationen und so genannte Secrets zu kontrollieren. Wenn es Angreifern gelingt, darauf Zugriff zu erhalten, können sie die komplette Tool-Chain des Lebenszyklus der Software-Entwicklung und die darin gespeicherten Artefakte ausnutzen.

Konkret entdeckte Aqua über 250 Millionen Artefakte und über 65.000 Container-Images, die offengelegt wurden – über Tausende falsch konfigurierter Container-Images, Container-Image-Registries („Red Hat Quay“) sowie Artefakten-Registries („JFrog Artifactory“ und „Sonatype Nexus“).

Die Untersuchung ergab auch, dass es Unternehmen in einigen Fällen versäumt haben, die hochkritischen Umgebungen ordnungsgemäß zu sichern. In anderen Fällen gelangten sensible Informationen in Open-Source-Bereiche, so dass diese Umgebungen dem Internet ausgesetzt und anfällig für Angriffe sind. Dies kann zu ernsthaften Angriffen führen.

Untersuchungsergebnisse

  • Die Security-Forscher fanden sensible Schlüssel (einschließlich Secrets, Anmeldeinformationen oder Tokens) auf 1.400 verschiedenen Hosts – ebenso wie private sensible Adressen von Endpunkten (wie Redis, MongoDB, PostgreSQL oder MySQL) auf 156 Hosts.
  • Sie entdeckten 57 Registries mit kritischen Fehlkonfigurationen, von denen 15 den Administratorzugriff mit dem Standardpasswort erlaubten.
  • Sie fanden außerdem mehr als 2.100 Artefakt-Registries mit Upload-Berechtigungen, die es einem Angreifer ermöglichen könnten, die Registries mit bösartigem Code zu vergiften. In einigen Fällen ermöglichte der anonyme Benutzerzugriff potenziellen Angreifern den Zugriff auf vertrauliche Informationen (wie Secrets, Schlüssel und Passwörter), die verwendet werden könnten, um einen schwerwiegenden Angriff auf die Software-Supply-Chain auszuführen oder den Software-Entwicklungslebenszyklus zu vergiften.

Empfehlungen für Security-Teams

Security-Teams betroffener Unternehmen sollten sofort folgende Maßnahmen ergreifen:

  • Sie sollten grundsätzlich prüfen, ob Registries oder Artefakt-Verwaltungssysteme mit dem Internet verbunden sind.
  • Wenn die Registry absichtlich mit dem Internet verbunden ist, gilt es zu prüfen, ob die Version keine kritisch Sicherheitslücke aufweist und ob nicht das Standardpasswort verwendet wird.
  • Die Passwörter müssen stark genug sein und regelmäßig gewechselt werden.
  • Der Zugriff für anonyme Benutzer sollte deaktiviert sein. Wenn dieser Zugriff absichtlich aktiviert ist, sollten diese nur minimale Berechtigungen erhalten.
  • Öffentliche Artefakte in einem Repository sollten regelmäßig gescannt werden, um sicherzustellen, dass sie keine Secrets oder vertrauliche Informationen enthalten.
  • Und schließlich sollten sie alle Secrets ändern, die möglicherweise offengelegt wurden.

Offenlegung von Schwachstellen

Nur wenige Unternehmen, so das Ergebnis der Nautilus-Untersuchung, haben ein Programm zur verantwortungsvollen Offenlegung von Schwachstellen. Diese Programme sind wichtige Instrumente: Sie ermöglichen es den IT-Sicherheits-Teams, potenzielle Schwachstellen auf strukturierte Weise zu melden, damit ihr Unternehmen das Problem schnell beheben kann, bevor es kompromittiert wird.

Nautilus fand auch heraus, dass Unternehmen mit bestehenden Programmen zur Offenlegung von Sicherheitslücken Fehlkonfigurationen in weniger als einer Woche beheben konnten. Für Unternehmen ohne ein solches Programm war der Prozess schwieriger und zeitaufwändiger.

Assaf Morag, leitender Bedrohungsforscher bei Aqua Nautilus, erläutert: „Wir begannen unsere Forschung mit dem Ziel, Fehlkonfigurationen in Registries besser zu verstehen, mehr über die die Unternehmen herauszufinden, die hinter diesen Fehlkonfigurationen stehen – und zu sehen, wie ein geschickter Angreifer die ungeschützten und fehlkonfigurierten Registries ausnutzen würde. Die Ergebnisse waren sowohl überraschend als auch höchst besorgniserregend. Angesichts des Ausmaßes der von uns aufgedeckten Risiken haben wir die Security-Teams der betroffenen Unternehmen nach dem üblichen Prozedere informiert.

Mehr bei Aquasec.com

 


Über Aqua Security

Aqua Security ist der größte Anbieter für reine cloud native Security. Aqua gibt seinen Kunden die Freiheit, Innovationen voranzutreiben und ihre digitale Transformation zu beschleunigen. Die Aqua-Plattform bietet Prävention, Erkennung und Reaktionsautomatisierung über den gesamten Lebenszyklus von Anwendungen, um die Lieferkette, die Cloud-Infrastruktur und laufende Workloads zu sichern – unabhängig davon, wo sie eingesetzt werden.


 

Passende Artikel zum Thema

MDR-Kunden erhalten bis zu 1 Million US-Dollar Schadensersatz

Klassische Cyber-Versicherungen gibt es zwar schon länger, aber nicht in dieser Form: Bitdefender-MDR-Kunden erhalten bei Sicherheitsvorfällen mit Folgen für den ➡ Weiterlesen

Ransomware: Typische Angriffsschritte einer Cyberattacke

Nach einer Cyberattacke ist es schwierig, den Angriffshergang zu rekonstruieren. Ein führender Anbieter für Cybersicherheit hat analysiert, in welchen Angriffsschritten ➡ Weiterlesen

XDR: KI-Funktionen erkennen und wehren Bedrohungen ab

Bei der Erkennung und Neutralisierung von Bedrohungen kann für Sicherheitsexperten, darunter auch Managed Service Provider (MSP), jede Minute entscheidend sein. ➡ Weiterlesen

Modulare Speicherlösung – Hochsicher und sofort verfügbar

Hochsichere Speicherlösungen müssen nicht nur höchsten Qualitätsansprüchen genügen, sie müssen schnell arbeiten und so schnell wie möglich verfügbar sein. FAST ➡ Weiterlesen

Netzwerkprobleme fordern Industrieunternehmen heraus

Netzwerkprobleme sind eine häufig auftretende Herausforderung in Industrieunternehmen. 38 Prozent von ihnen sind ein bis drei Mal im Monat davon ➡ Weiterlesen

SIEM-Strategie für moderne Cybersicherheit

Die Bedrohungslage im Cyberraum spitzt sich weiter zu. Cyberkriminelle agieren zunehmend professionell. Sie bieten Ransomware-Kits im Affiliate-Modell an und verkaufen ➡ Weiterlesen

Schwachstellen erkennen und patchen

Die neue Softwareversion "Vulnerability and Patchmanagement" unterstützt Unternehmen bei der automatischen Erkennung von Schwachstellen und beim automatischen oder manuellen patchen ➡ Weiterlesen

Die pakistanische Hackergruppe APT36 lernt mit ElizaRAT dazu

Die Threat-Intelligence-Abteilung von Check Point hat in einem neuen Bericht die technischen und strategischen Weiterentwicklungen der Malware ElizaRAT analysiert. Das ➡ Weiterlesen