クラウドネイティブ セキュリティのパイオニアは、250 億 65.000 万を超えるアーティファクトと XNUMX を超えるコンテナー イメージを含む、数千の露出したレジストリとアーティファクト リポジトリを発見しました。
これらのアーティファクトと画像の多くには、極秘で機密性の高い独自のコードと「秘密」が含まれていました。 Aqua の IT セキュリティ研究者チームである Team Nautilus は、フォーチュン 500 の XNUMX 社と主要な IT セキュリティ ベンダー XNUMX 社を含む、世界中のあらゆる規模の数千の企業を危険にさらす構成ミスを発見しました。 たとえば、IBM では、内部コンテナー レジストリがインターネットに公開されていました。Nautilus の研究者がローカル セキュリティ チームに通知した後、これらの環境へのインターネット アクセスは閉鎖され、リスクは最小限に抑えられました。 Aqua は、Alibaba や Cisco など、影響を受ける可能性のある企業のセキュリティ チームに通知しました。
ソフトウェアサプライチェーン
レジストリとアーティファクト管理システムは、ソフトウェア サプライ チェーンの重要な要素であり、サイバー犯罪者の主な標的となっています。 多くの企業は、コンテナとアーティファクトのレジストリを意図的に外部に公開しています。 しかし、彼らは危険に気づいていなかったり、機密情報やいわゆる機密情報を制御できなかったりすることがあります。 攻撃者がアクセスに成功すると、ソフトウェア開発ライフサイクル ツールチェーン全体とそこに保存されているアーティファクトを悪用できます。
具体的には、Aqua は 250 億 65.000 万を超えるアーティファクトと XNUMX を超えるコンテナー イメージが公開されていることを発見しました。これには、数千を超える不適切に構成されたコンテナー イメージ、コンテナー イメージ レジストリ (「Red Hat Quay」)、およびアーティファクト レジストリ (「JFrog Artifactory」および「Sonatype nexus」) が含まれます。
この調査では、企業が非常に重要な環境を適切に保護できていないケースもあることがわかりました。 また、機密情報がオープン ソース領域に入り込み、これらの環境がインターネットにさらされ、攻撃に対して脆弱なままになっている場合もあります。 これは深刻な攻撃につながる可能性があります。
調査結果
- セキュリティ研究者 1.400 の異なるホストで機密キー (シークレット、資格情報、またはトークンを含む) を発見し、156 のホストでエンドポイント (Redis、MongoDB、PostgreSQL、MySQL など) の機密プライベート アドレスを発見しました。
- 彼らは57のレジストリを発見しました 重大な設定ミスがあり、そのうち 15 件でデフォルト パスワードによる管理者アクセスが許可されていました。
- 彼らも見つけた 攻撃者が悪意のあるコードでレジストリを汚染する可能性のあるアップロード許可を持つ 2.100 以上のアーティファクト レジストリ。 場合によっては、匿名ユーザー アクセスにより、潜在的な攻撃者が機密情報 (シークレット、キー、パスワードなど) にアクセスできるようになり、ソフトウェア サプライ チェーンに深刻な攻撃を仕掛けたり、ソフトウェア開発ライフサイクルを汚染したりするために使用される可能性がありました。
セキュリティ チームへの推奨事項
影響を受ける組織のセキュリティ チームは、直ちに次の措置を講じる必要があります。
- 常にチェックする必要がありますレジストリまたはアーティファクト管理システムがインターネットに接続されているかどうか。
- レジストリの場合 意図的にインターネットに接続している場合、そのバージョンに重大なセキュリティ上の脆弱性がないかどうか、およびデフォルトのパスワードが使用されているかどうかを確認することが重要です。
- パスワード 十分に強く、定期的に交換する必要があります。
- 匿名ユーザーのアクセス 無効にする必要があります。 このアクセスが意図的に有効になっている場合は、最小限の権限を付与する必要があります。
- リポジトリ内のパブリック アーティファクト 定期的にスキャンして、機密情報や機密情報が含まれていないことを確認する必要があります。
- そして最後に 彼らは、開示された可能性のある秘密を変更する必要があります。
脆弱性の開示
Nautilus の調査によると、責任ある脆弱性開示プログラムを実施している企業はほとんどありません。 これらのプログラムは重要なツールです。IT セキュリティ チームは潜在的な脆弱性を構造化された方法で報告できるため、組織は問題が侵害される前に迅速に修正できます。
Nautilus はまた、既存の脆弱性公開プログラムを実施している企業は、XNUMX 週間以内に構成ミスを修正できることも発見しました。 このようなプログラムを持たない企業の場合、このプロセスはより困難で時間がかかりました。
Aqua Nautilus の上級脅威研究員である Assaf Morag 氏は次のように説明しています。 . その結果は驚くべきものであると同時に、非常に心配なものでもありました。 発見したリスクの範囲を考慮して、通常の手順に従って、影響を受ける企業のセキュリティ チームに通知しました。
詳しくは Aquasec.com をご覧ください
アクアセキュリティについて Aqua Security は、最大の純粋なクラウド ネイティブ セキュリティ プロバイダーです。 Aqua は、デジタル トランスフォーメーションを革新し、加速する自由を顧客に提供します。 Aqua Platform は、アプリケーション ライフサイクル全体で防止、検出、および応答の自動化を提供し、デプロイされている場所に関係なく、サプライ チェーン、クラウド インフラストラクチャ、および進行中のワークロードを保護します。
トピックに関連する記事