Un pioniere della sicurezza cloud-native ha scoperto migliaia di registri esposti e repository di artefatti contenenti oltre 250 milioni di artefatti e oltre 65.000 immagini di container.
Molti di questi artefatti e immagini contenevano codice proprietario e "segreti" altamente confidenziali e sensibili. Il team di ricercatori sulla sicurezza IT di Aqua, il Team Nautilus, ha scoperto configurazioni errate che mettono a rischio migliaia di aziende di tutte le dimensioni in tutto il mondo, tra cui cinque aziende Fortune 500 e due importanti fornitori di sicurezza IT. In IBM, ad esempio, un registro contenitore interno è stato esposto a Internet: dopo che i ricercatori Nautilus hanno informato il team di sicurezza locale, l'accesso Internet a questi ambienti è stato chiuso e i rischi ridotti al minimo. Aqua ha informato i team di sicurezza delle aziende potenzialmente interessate, tra cui Alibaba e Cisco.
filiera del software
I registri e i sistemi di gestione degli artefatti sono elementi critici nella catena di fornitura del software, il che li rende un obiettivo primario per i criminali informatici. Molte aziende aprono di proposito i loro registri di container e artefatti al mondo esterno. Tuttavia, a volte non sono consapevoli dei pericoli o non sono in grado di controllare informazioni sensibili e i cosiddetti segreti. Se gli aggressori riescono ad accedervi, possono sfruttare l'intera toolchain del ciclo di vita dello sviluppo del software e gli artefatti archiviati al suo interno.
Nello specifico, Aqua ha scoperto oltre 250 milioni di artefatti e oltre 65.000 immagini di container esposte, oltre migliaia di immagini di container configurate in modo errato, registri di immagini di container ("Red Hat Quay") e registri di artefatti ("JFrog Artifactory" e "Sonatype nexus").
L'indagine ha inoltre rilevato che in alcuni casi le aziende non sono riuscite a proteggere adeguatamente gli ambienti altamente critici. In altri casi, informazioni sensibili sono entrate in aree open source, lasciando questi ambienti esposti a Internet e vulnerabili agli attacchi. Questo può portare a gravi attacchi.
risultati dell'indagine
- I ricercatori della sicurezza ha trovato chiavi sensibili (inclusi segreti, credenziali o token) su 1.400 host diversi, nonché indirizzi privati sensibili di endpoint (come Redis, MongoDB, PostgreSQL o MySQL) su 156 host.
- Hanno scoperto 57 registri con configurazioni errate critiche, 15 delle quali consentivano l'accesso dell'amministratore con la password predefinita.
- Hanno trovato pure Oltre 2.100 registri di artefatti con autorizzazioni di caricamento che potrebbero consentire a un utente malintenzionato di avvelenare i registri con codice dannoso. In alcuni casi, l'accesso degli utenti anonimi ha consentito ai potenziali aggressori di accedere a informazioni sensibili (come segreti, chiavi e password) che potrebbero essere utilizzate per lanciare un attacco serio alla catena di fornitura del software o avvelenare il ciclo di vita dello sviluppo del software.
Raccomandazioni per i team di sicurezza
I team di sicurezza delle organizzazioni interessate devono intraprendere immediatamente le seguenti azioni:
- Dovresti sempre controllarese i registri o i sistemi di gestione degli artefatti sono connessi a Internet.
- Se il registro connesso intenzionalmente a Internet, è importante verificare se la versione non presenta vulnerabilità di sicurezza critiche e se viene utilizzata la password predefinita.
- le password deve essere abbastanza forte e cambiato regolarmente.
- Accesso per utenti anonimi dovrebbe essere disabilitato. Se questo accesso è abilitato intenzionalmente, dovrebbero essere concessi privilegi minimi.
- Artefatti pubblici in un repository dovrebbero essere scansionati regolarmente per assicurarsi che non contengano segreti o informazioni sensibili.
- E infine dovrebbero cambiare tutti i segreti che potrebbero essere stati divulgati.
Divulgazione di vulnerabilità
Poche aziende, secondo lo studio Nautilus, dispongono di un programma responsabile di divulgazione delle vulnerabilità. Questi programmi sono strumenti importanti: consentono ai team di sicurezza IT di segnalare potenziali vulnerabilità in modo strutturato in modo che la loro organizzazione possa risolvere rapidamente il problema prima che venga compromesso.
Nautilus ha anche scoperto che le aziende con programmi di divulgazione delle vulnerabilità esistenti sono state in grado di correggere le configurazioni errate in meno di una settimana. Per le aziende prive di tale programma, il processo era più difficile e richiedeva tempo.
Assaf Morag, Senior Threat Researcher presso Aqua Nautilus, spiega: "Abbiamo iniziato la nostra ricerca con l'obiettivo di comprendere meglio le configurazioni errate del registro, scoprire di più sulle aziende dietro queste configurazioni errate e vedere come un aggressore esperto potrebbe sfruttare registri non protetti e sfrutterebbe registri configurati in modo errato . I risultati sono stati sia sorprendenti che molto preoccupanti. In considerazione dell'entità dei rischi che abbiamo scoperto, abbiamo informato i team di sicurezza delle società interessate secondo la consueta procedura.
Altro su Aquasec.com
A proposito di Aqua Security Aqua Security è il più grande fornitore di sicurezza cloud native puro. Aqua offre ai suoi clienti la libertà di innovare e accelerare la loro trasformazione digitale. Aqua Platform fornisce prevenzione, rilevamento e automazione della risposta lungo tutto il ciclo di vita dell'applicazione per proteggere la supply chain, l'infrastruttura cloud e i carichi di lavoro continui, indipendentemente da dove vengono implementati.
Articoli relativi all'argomento