Gefährdete Artefakte und Container-Images

29. April 2023
| Keine Kommentare
Gefährdete Artefakte und Container-Images

Beitrag teilen

Ein Pionier in Cloud-Native-Security hat Tausende offengelegter Registries und Artefakt-Repositories entdeckt, die über 250 Millionen Artefakte und über 65.000 Container-Images enthalten.

Viele dieser Artefakte und Images enthielten hochvertraulichen und sensiblen proprietären Code sowie „Secrets“. Aquas Team von IT-Sicherheitsforschern, Team Nautilus, konnte falsche Konfigurationen nachweisen, die weltweit Tausende Unternehmen aller Größenordnungen gefährdeten – darunter fünf aus den Fortune-500 sowie zwei große IT-Sicherheitsanbieter. Bei IBM war beispielsweise eine interne Container-Registry dem Internet ausgesetzt: Nachdem Nautilus-Forscher das dortige Security-Team informierten, wurden der Internetzugang zu diesen Umgebungen geschlossen und die Risiken minimiert. Aqua hat die Security-Teams der potenziell betroffenen Unternehmen – darunter Alibaba und Cisco – informiert.

Software-Supply-Chain

Registries und Artefakt-Verwaltungssysteme sind entscheidende Elemente innerhalb der Software-Supply-Chain – und damit ein bevorzugtes Ziel für Cyber-Kriminelle. Viele Unternehmen öffnen ihre Container- und Artefakt-Registries zwar absichtlich für die Außenwelt. Sie sind sich aber manchmal der Gefahren nicht bewusst oder sind nicht in der Lage, sensible Informationen und so genannte Secrets zu kontrollieren. Wenn es Angreifern gelingt, darauf Zugriff zu erhalten, können sie die komplette Tool-Chain des Lebenszyklus der Software-Entwicklung und die darin gespeicherten Artefakte ausnutzen.

Konkret entdeckte Aqua über 250 Millionen Artefakte und über 65.000 Container-Images, die offengelegt wurden – über Tausende falsch konfigurierter Container-Images, Container-Image-Registries („Red Hat Quay“) sowie Artefakten-Registries („JFrog Artifactory“ und „Sonatype Nexus“).

Die Untersuchung ergab auch, dass es Unternehmen in einigen Fällen versäumt haben, die hochkritischen Umgebungen ordnungsgemäß zu sichern. In anderen Fällen gelangten sensible Informationen in Open-Source-Bereiche, so dass diese Umgebungen dem Internet ausgesetzt und anfällig für Angriffe sind. Dies kann zu ernsthaften Angriffen führen.

Untersuchungsergebnisse

  • Die Security-Forscher fanden sensible Schlüssel (einschließlich Secrets, Anmeldeinformationen oder Tokens) auf 1.400 verschiedenen Hosts – ebenso wie private sensible Adressen von Endpunkten (wie Redis, MongoDB, PostgreSQL oder MySQL) auf 156 Hosts.
  • Sie entdeckten 57 Registries mit kritischen Fehlkonfigurationen, von denen 15 den Administratorzugriff mit dem Standardpasswort erlaubten.
  • Sie fanden außerdem mehr als 2.100 Artefakt-Registries mit Upload-Berechtigungen, die es einem Angreifer ermöglichen könnten, die Registries mit bösartigem Code zu vergiften. In einigen Fällen ermöglichte der anonyme Benutzerzugriff potenziellen Angreifern den Zugriff auf vertrauliche Informationen (wie Secrets, Schlüssel und Passwörter), die verwendet werden könnten, um einen schwerwiegenden Angriff auf die Software-Supply-Chain auszuführen oder den Software-Entwicklungslebenszyklus zu vergiften.

Empfehlungen für Security-Teams

Security-Teams betroffener Unternehmen sollten sofort folgende Maßnahmen ergreifen:

  • Sie sollten grundsätzlich prüfen, ob Registries oder Artefakt-Verwaltungssysteme mit dem Internet verbunden sind.
  • Wenn die Registry absichtlich mit dem Internet verbunden ist, gilt es zu prüfen, ob die Version keine kritisch Sicherheitslücke aufweist und ob nicht das Standardpasswort verwendet wird.
  • Die Passwörter müssen stark genug sein und regelmäßig gewechselt werden.
  • Der Zugriff für anonyme Benutzer sollte deaktiviert sein. Wenn dieser Zugriff absichtlich aktiviert ist, sollten diese nur minimale Berechtigungen erhalten.
  • Öffentliche Artefakte in einem Repository sollten regelmäßig gescannt werden, um sicherzustellen, dass sie keine Secrets oder vertrauliche Informationen enthalten.
  • Und schließlich sollten sie alle Secrets ändern, die möglicherweise offengelegt wurden.

Offenlegung von Schwachstellen

Nur wenige Unternehmen, so das Ergebnis der Nautilus-Untersuchung, haben ein Programm zur verantwortungsvollen Offenlegung von Schwachstellen. Diese Programme sind wichtige Instrumente: Sie ermöglichen es den IT-Sicherheits-Teams, potenzielle Schwachstellen auf strukturierte Weise zu melden, damit ihr Unternehmen das Problem schnell beheben kann, bevor es kompromittiert wird.

Nautilus fand auch heraus, dass Unternehmen mit bestehenden Programmen zur Offenlegung von Sicherheitslücken Fehlkonfigurationen in weniger als einer Woche beheben konnten. Für Unternehmen ohne ein solches Programm war der Prozess schwieriger und zeitaufwändiger.

Assaf Morag, leitender Bedrohungsforscher bei Aqua Nautilus, erläutert: „Wir begannen unsere Forschung mit dem Ziel, Fehlkonfigurationen in Registries besser zu verstehen, mehr über die die Unternehmen herauszufinden, die hinter diesen Fehlkonfigurationen stehen – und zu sehen, wie ein geschickter Angreifer die ungeschützten und fehlkonfigurierten Registries ausnutzen würde. Die Ergebnisse waren sowohl überraschend als auch höchst besorgniserregend. Angesichts des Ausmaßes der von uns aufgedeckten Risiken haben wir die Security-Teams der betroffenen Unternehmen nach dem üblichen Prozedere informiert.

Mehr bei Aquasec.com

 

Über Aqua Security

Aqua Security ist der größte Anbieter für reine cloud native Security. Aqua gibt seinen Kunden die Freiheit, Innovationen voranzutreiben und ihre digitale Transformation zu beschleunigen. Die Aqua-Plattform bietet Prävention, Erkennung und Reaktionsautomatisierung über den gesamten Lebenszyklus von Anwendungen, um die Lieferkette, die Cloud-Infrastruktur und laufende Workloads zu sichern – unabhängig davon, wo sie eingesetzt werden.

 

Passende Artikel zum Thema

Risikomanagement App für Microsoft 365

Die Risikomanagement App Cockpit ist eine fertige Plug & Play-Lösung, die über Desktop oder Smartphone bedient werden kann. Sie identifiziert, ➡ Weiterlesen

1 Mill. Euro Preisgelder für 58 Zero-Day-Schwachstellen

Trend Micros Zero Day Initiative (ZDI) vergibt Preisgelder an ethische Hacker für das Aufdecken von Schwachstellen beim Pwn2Own Hacking-Wettbewerb. Für ➡ Weiterlesen

CSaaS: Studie zu Cyber Security as a Service 

Unternehmen stärken sich zunehmend mit externer Expertise. So zeigt die aktuelle Studie, dass 46 Prozent der Unternehmen bereits auf Cyber ➡ Weiterlesen

Proaktiv: Investitionen in IT-Sicherheit als Geschäftsstrategie

IT-Sicherheit ist nicht nur eine Investition, die den Schutz der Unternehmenswerte gewährleistet. Sie schafft auch einen erheblichen Mehrwert für Kunden ➡ Weiterlesen

Höchste Verschlüsselung mit Quantencomputer geknackt?

Die aktuell höchste Verschlüsselung ist der RSA-2048-Schlüssel. Diesen will nun der Forscher Ed Gerck Ph.D, Physiker und Mathematiker, mit einem ➡ Weiterlesen

Passende Datensicherheit in der Industrie

Datensicherheit und Backups für Unternehmen sind theoretisch einfach zu gewährleisten, aber wie funktioniert das in Wirklichkeit? Die aktuelle Fallstudie zeigt ➡ Weiterlesen

Cyber-Resilienz: Trotz Angst vor Angriffen ungenügend vorbereitet

In einer Studie haben sich Führungskräfte aus den Bereichen Sicherheit und IT-Betrieb zur Cyber-Resilienz in ihrem Unternehmen geäußert. Die Mehrzahl ➡ Weiterlesen

Hacken lernen, um Angriffe zu verhindern

"Ethische Hacker" hacken sich in Unternehmensnetzwerke, um Sicherheitslücken zu identifizieren bevor Angreifer sie finden. In einem Kurs lässt sich das ➡ Weiterlesen

PR-Meldungen
, , , ,