Manufatti in via di estinzione e immagini di contenitori

29. Aprile 2023
| Non ci sono commenti
Manufatti in via di estinzione e immagini di contenitori

Condividi post

Un pioniere della sicurezza cloud-native ha scoperto migliaia di registri esposti e repository di artefatti contenenti oltre 250 milioni di artefatti e oltre 65.000 immagini di container.

Molti di questi artefatti e immagini contenevano codice proprietario e "segreti" altamente confidenziali e sensibili. Il team di ricercatori sulla sicurezza IT di Aqua, il Team Nautilus, ha scoperto configurazioni errate che mettono a rischio migliaia di aziende di tutte le dimensioni in tutto il mondo, tra cui cinque aziende Fortune 500 e due importanti fornitori di sicurezza IT. In IBM, ad esempio, un registro contenitore interno è stato esposto a Internet: dopo che i ricercatori Nautilus hanno informato il team di sicurezza locale, l'accesso Internet a questi ambienti è stato chiuso e i rischi ridotti al minimo. Aqua ha informato i team di sicurezza delle aziende potenzialmente interessate, tra cui Alibaba e Cisco.

filiera del software

I registri e i sistemi di gestione degli artefatti sono elementi critici nella catena di fornitura del software, il che li rende un obiettivo primario per i criminali informatici. Molte aziende aprono di proposito i loro registri di container e artefatti al mondo esterno. Tuttavia, a volte non sono consapevoli dei pericoli o non sono in grado di controllare informazioni sensibili e i cosiddetti segreti. Se gli aggressori riescono ad accedervi, possono sfruttare l'intera toolchain del ciclo di vita dello sviluppo del software e gli artefatti archiviati al suo interno.

Nello specifico, Aqua ha scoperto oltre 250 milioni di artefatti e oltre 65.000 immagini di container esposte, oltre migliaia di immagini di container configurate in modo errato, registri di immagini di container ("Red Hat Quay") e registri di artefatti ("JFrog Artifactory" e "Sonatype nexus").

L'indagine ha inoltre rilevato che in alcuni casi le aziende non sono riuscite a proteggere adeguatamente gli ambienti altamente critici. In altri casi, informazioni sensibili sono entrate in aree open source, lasciando questi ambienti esposti a Internet e vulnerabili agli attacchi. Questo può portare a gravi attacchi.

risultati dell'indagine

  • I ricercatori della sicurezza ha trovato chiavi sensibili (inclusi segreti, credenziali o token) su 1.400 host diversi, nonché indirizzi privati ​​sensibili di endpoint (come Redis, MongoDB, PostgreSQL o MySQL) su 156 host.
  • Hanno scoperto 57 registri con configurazioni errate critiche, 15 delle quali consentivano l'accesso dell'amministratore con la password predefinita.
  • Hanno trovato pure Oltre 2.100 registri di artefatti con autorizzazioni di caricamento che potrebbero consentire a un utente malintenzionato di avvelenare i registri con codice dannoso. In alcuni casi, l'accesso degli utenti anonimi ha consentito ai potenziali aggressori di accedere a informazioni sensibili (come segreti, chiavi e password) che potrebbero essere utilizzate per lanciare un attacco serio alla catena di fornitura del software o avvelenare il ciclo di vita dello sviluppo del software.

Raccomandazioni per i team di sicurezza

I team di sicurezza delle organizzazioni interessate devono intraprendere immediatamente le seguenti azioni:

  • Dovresti sempre controllarese i registri o i sistemi di gestione degli artefatti sono connessi a Internet.
  • Se il registro connesso intenzionalmente a Internet, è importante verificare se la versione non presenta vulnerabilità di sicurezza critiche e se viene utilizzata la password predefinita.
  • le password deve essere abbastanza forte e cambiato regolarmente.
  • Accesso per utenti anonimi dovrebbe essere disabilitato. Se questo accesso è abilitato intenzionalmente, dovrebbero essere concessi privilegi minimi.
  • Artefatti pubblici in un repository dovrebbero essere scansionati regolarmente per assicurarsi che non contengano segreti o informazioni sensibili.
  • E infine dovrebbero cambiare tutti i segreti che potrebbero essere stati divulgati.

Divulgazione di vulnerabilità

Poche aziende, secondo lo studio Nautilus, dispongono di un programma responsabile di divulgazione delle vulnerabilità. Questi programmi sono strumenti importanti: consentono ai team di sicurezza IT di segnalare potenziali vulnerabilità in modo strutturato in modo che la loro organizzazione possa risolvere rapidamente il problema prima che venga compromesso.

Nautilus ha anche scoperto che le aziende con programmi di divulgazione delle vulnerabilità esistenti sono state in grado di correggere le configurazioni errate in meno di una settimana. Per le aziende prive di tale programma, il processo era più difficile e richiedeva tempo.

Assaf Morag, Senior Threat Researcher presso Aqua Nautilus, spiega: "Abbiamo iniziato la nostra ricerca con l'obiettivo di comprendere meglio le configurazioni errate del registro, scoprire di più sulle aziende dietro queste configurazioni errate e vedere come un aggressore esperto potrebbe sfruttare registri non protetti e sfrutterebbe registri configurati in modo errato . I risultati sono stati sia sorprendenti che molto preoccupanti. In considerazione dell'entità dei rischi che abbiamo scoperto, abbiamo informato i team di sicurezza delle società interessate secondo la consueta procedura.

Altro su Aquasec.com

 

A proposito di Aqua Security

Aqua Security è il più grande fornitore di sicurezza cloud native puro. Aqua offre ai suoi clienti la libertà di innovare e accelerare la loro trasformazione digitale. Aqua Platform fornisce prevenzione, rilevamento e automazione della risposta lungo tutto il ciclo di vita dell'applicazione per proteggere la supply chain, l'infrastruttura cloud e i carichi di lavoro continui, indipendentemente da dove vengono implementati.

 

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Manipolazione dei dati, il pericolo sottovalutato

Ogni anno, il 31 marzo, la Giornata mondiale del backup serve a ricordare l'importanza di backup aggiornati e facilmente accessibili ➡ Leggi di più

Le stampanti come rischio per la sicurezza

I parchi stampanti aziendali stanno diventando sempre più un punto cieco e pongono enormi problemi in termini di efficienza e sicurezza. ➡ Leggi di più

La legge sull’AI e le sue conseguenze sulla protezione dei dati

Con la legge sull’AI è stata approvata la prima legge sull’IA che concede ai produttori di applicazioni AI un periodo di sei mesi e mezzo ➡ Leggi di più

Sistemi operativi Windows: quasi due milioni di computer a rischio

Non sono più disponibili aggiornamenti per i sistemi operativi Windows 7 e 8. Ciò significa lacune di sicurezza aperte e quindi utile e ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Suite di prodotti DSPM per la sicurezza dei dati Zero Trust

Il Data Security Posture Management – ​​in breve DSPM – è fondamentale per le aziende per garantire la resilienza informatica contro la moltitudine ➡ Leggi di più

HeadCrab 2.0 scoperto

La campagna HeadCrab contro i server Redis, attiva dal 2021, continua a infettare con successo gli obiettivi con la nuova versione. Il miniblog dei criminali ➡ Leggi di più

Messaggi PR
, , , ,