क्लाउड-नेटिव सुरक्षा में अग्रणी ने 250 मिलियन से अधिक कलाकृतियों और 65.000 से अधिक कंटेनर छवियों वाली हजारों उजागर रजिस्ट्रियों और आर्टिफैक्ट रिपॉजिटरी की खोज की है।
इनमें से कई कलाकृतियों और छवियों में अत्यधिक गोपनीय और संवेदनशील मालिकाना कोड और "रहस्य" शामिल हैं। एक्वा के आईटी सुरक्षा शोधकर्ताओं की टीम, टीम नॉटिलस ने गलत कॉन्फ़िगरेशन का खुलासा किया, जिसने दुनिया भर में सभी आकार की हजारों कंपनियों को जोखिम में डाल दिया - जिसमें फॉर्च्यून 500 से पांच और दो प्रमुख आईटी सुरक्षा विक्रेता शामिल हैं। आईबीएम में, उदाहरण के लिए, एक आंतरिक कंटेनर रजिस्ट्री को इंटरनेट से अवगत कराया गया था: नॉटिलस के शोधकर्ताओं ने स्थानीय सुरक्षा टीम को सूचित करने के बाद, इन वातावरणों में इंटरनेट का उपयोग बंद कर दिया था और जोखिम कम हो गए थे। एक्वा ने अलीबाबा और सिस्को समेत संभावित रूप से प्रभावित कंपनियों की सुरक्षा टीमों को सूचित किया है।
सॉफ्टवेयर आपूर्ति श्रृंखला
सॉफ्टवेयर आपूर्ति श्रृंखला में रजिस्ट्रियां और विरूपण साक्ष्य प्रबंधन प्रणालियां महत्वपूर्ण तत्व हैं, जो उन्हें साइबर अपराधियों के लिए एक प्रमुख लक्ष्य बनाती हैं। कई कंपनियां जानबूझकर अपने कंटेनर और कलाकृतियों की रजिस्ट्रियों को बाहरी दुनिया के लिए खोलती हैं। हालांकि, वे कभी-कभी खतरों से अनजान होते हैं या संवेदनशील जानकारी और तथाकथित रहस्यों को नियंत्रित करने में असमर्थ होते हैं। यदि हमलावर इसे एक्सेस करने में कामयाब हो जाते हैं, तो वे संपूर्ण सॉफ़्टवेयर डेवलपमेंट लाइफ़साइकल टूलचेन और उसमें संग्रहीत कलाकृतियों का शोषण कर सकते हैं।
विशेष रूप से, एक्वा ने 250 मिलियन से अधिक कलाकृतियों की खोज की और 65.000 से अधिक कंटेनर छवियों को उजागर किया - हजारों से अधिक गलत कॉन्फ़िगर की गई कंटेनर छवियों, कंटेनर छवि रजिस्ट्रियों ("रेड हैट क्वे"), और विरूपण साक्ष्य रजिस्ट्रियों ("जेफ्रोग आर्टिफैक्टरी" और "सोनाटाइप नेक्सस")।
जांच में यह भी पाया गया कि कुछ मामलों में कंपनियां अत्यधिक महत्वपूर्ण वातावरण को ठीक से सुरक्षित करने में विफल रहीं। अन्य मामलों में, संवेदनशील जानकारी खुले स्रोत क्षेत्रों में प्रवेश कर गई है, जिससे ये वातावरण इंटरनेट के संपर्क में आ गए हैं और हमले के लिए असुरक्षित हैं। इससे गंभीर हमले हो सकते हैं।
जांच के परिणाम
- सुरक्षा शोधकर्ता 1.400 अलग-अलग मेजबानों पर संवेदनशील कुंजियाँ (रहस्यों, क्रेडेंशियल्स या टोकन सहित) - साथ ही 156 मेजबानों पर एंडपॉइंट्स (जैसे रेडिस, मोंगोडीबी, पोस्टग्रेएसक्यूएल या माईएसक्यूएल) के संवेदनशील निजी पते पाए गए।
- उन्होंने 57 रजिस्ट्रियों की खोज की गंभीर गलत कॉन्फ़िगरेशन के साथ, जिनमें से 15 ने डिफ़ॉल्ट पासवर्ड के साथ एडमिनिस्ट्रेटर एक्सेस की अनुमति दी।
- उन्होंने भी पाया अपलोड अनुमतियों के साथ 2.100+ आर्टिफैक्ट रजिस्ट्रियां जो एक हमलावर को दुर्भावनापूर्ण कोड के साथ रजिस्ट्रियों को जहर देने की अनुमति दे सकती हैं। कुछ मामलों में, अनाम उपयोगकर्ता पहुंच ने संभावित हमलावरों को संवेदनशील जानकारी (जैसे रहस्य, कुंजी और पासवर्ड) तक पहुंच प्रदान की, जिसका उपयोग सॉफ़्टवेयर आपूर्ति श्रृंखला पर गंभीर हमला करने या सॉफ़्टवेयर विकास जीवनचक्र को ख़राब करने के लिए किया जा सकता है।
सुरक्षा टीमों के लिए सिफारिशें
प्रभावित संगठनों के सुरक्षा दलों को तुरंत निम्नलिखित कार्रवाई करनी चाहिए:
- आपको हमेशा चेक करना चाहिएचाहे रजिस्ट्रियां हों या विरूपण साक्ष्य प्रबंधन प्रणालियां इंटरनेट से जुड़ी हों।
- यदि रजिस्ट्री जानबूझकर इंटरनेट से जुड़ा है, यह जांचना महत्वपूर्ण है कि क्या संस्करण में कोई महत्वपूर्ण सुरक्षा भेद्यता नहीं है और क्या डिफ़ॉल्ट पासवर्ड का उपयोग किया जा रहा है।
- पासवर्ड पर्याप्त मजबूत होना चाहिए और नियमित रूप से बदलना चाहिए।
- अनाम उपयोगकर्ताओं के लिए पहुँच अक्षम होना चाहिए। यदि यह पहुंच जानबूझकर सक्षम की गई है, तो उन्हें न्यूनतम विशेषाधिकार दिए जाने चाहिए।
- रिपॉजिटरी में सार्वजनिक कलाकृतियां यह सुनिश्चित करने के लिए नियमित रूप से स्कैन किया जाना चाहिए कि उनमें कोई रहस्य या संवेदनशील जानकारी नहीं है।
- और अंत में उन्हें ऐसे किसी भी रहस्य को बदल देना चाहिए जिसका खुलासा किया गया हो।
भेद्यता प्रकटीकरण
नॉटिलस के अध्ययन में पाया गया कि कुछ कंपनियों के पास एक जिम्मेदार भेद्यता प्रकटीकरण कार्यक्रम है। ये कार्यक्रम महत्वपूर्ण उपकरण हैं: वे आईटी सुरक्षा टीमों को संरचित तरीके से संभावित कमजोरियों की रिपोर्ट करने की अनुमति देते हैं ताकि उनका संगठन समझौता होने से पहले समस्या को जल्दी से ठीक कर सके।
नॉटिलस ने यह भी पाया कि मौजूदा भेद्यता प्रकटीकरण कार्यक्रमों वाली कंपनियां एक सप्ताह से भी कम समय में गलत कॉन्फ़िगरेशन को ठीक करने में सक्षम थीं। कंपनियों के लिए ऐसे कार्यक्रम के बिना, प्रक्रिया अधिक कठिन और समय लेने वाली थी।
एक्वा नॉटिलस में सीनियर थ्रेट रिसर्चर असफ मोराग बताते हैं: "हमने रजिस्ट्री गलत कॉन्फ़िगरेशन को बेहतर ढंग से समझने के उद्देश्य से अपना शोध शुरू किया, इन गलत कॉन्फ़िगरेशन के पीछे कंपनियों के बारे में और जानने के लिए - और यह देखने के लिए कि कैसे एक कुशल हमलावर असुरक्षित शोषण कर सकता है और गलत कॉन्फ़िगर की गई रजिस्ट्री का शोषण करेगा . परिणाम आश्चर्यजनक और अत्यधिक चिंताजनक दोनों थे। हमने जिन जोखिमों का खुलासा किया है, उसे ध्यान में रखते हुए, हमने सामान्य प्रक्रिया के अनुसार प्रभावित कंपनियों की सुरक्षा टीमों को सूचित किया है।
Aquasec.com पर अधिक
एक्वा सुरक्षा के बारे में एक्वा सिक्योरिटी सबसे बड़ा प्योर क्लाउड नेटिव सुरक्षा प्रदाता है। एक्वा अपने ग्राहकों को अपने डिजिटल परिवर्तन को नया करने और तेज करने की स्वतंत्रता देता है। एक्वा प्लेटफॉर्म आपूर्ति श्रृंखला, क्लाउड इंफ्रास्ट्रक्चर और चल रहे वर्कलोड को सुरक्षित करने के लिए एप्लिकेशन लाइफसाइकिल में रोकथाम, पहचान और प्रतिक्रिया स्वचालन प्रदान करता है-चाहे वे कहीं भी तैनात हों।
विषय से संबंधित लेख