Nesli tükenmekte olan eserler ve kapsayıcı görüntüleri

29. Nisan 2023
| Yorum yok
Nesli tükenmekte olan eserler ve kapsayıcı görüntüleri

Gönderiyi paylaş

Bulut yerel güvenliğinde bir öncü, 250 milyondan fazla yapıt ve 65.000'den fazla kapsayıcı görüntüsü içeren binlerce açığa çıkmış kayıt defteri ve yapı deposu keşfetti.

Bu eserlerin ve görüntülerin çoğu, oldukça gizli ve hassas özel kod ve "sırlar" içeriyordu. Aqua'nın BT güvenlik araştırmacıları ekibi Team Nautilus, Fortune 500'den beşi ve iki büyük BT güvenlik satıcısı da dahil olmak üzere dünya çapında her ölçekten binlerce şirketi riske atan yanlış yapılandırmaları ortaya çıkardı. Örneğin IBM'de dahili bir konteyner kaydı İnternet'e maruz kaldı: Nautilus araştırmacıları yerel güvenlik ekibini bilgilendirdikten sonra, bu ortamlara İnternet erişimi kapatıldı ve riskler en aza indirildi. Aqua, Alibaba ve Cisco da dahil olmak üzere potansiyel olarak etkilenen şirketlerin güvenlik ekiplerine bilgi verdi.

yazılım tedarik zinciri

Kayıtlar ve yapı yönetim sistemleri, yazılım tedarik zincirindeki kritik unsurlardır ve bu da onları siber suçlular için birincil hedef haline getirir. Birçok firma konteyner ve eser kayıtlarını bilerek dış dünyaya açmaktadır. Ancak bazen tehlikelerin farkında değiller veya hassas bilgileri ve sözde sırları kontrol edemiyorlar. Saldırganlar buna erişmeyi başarırsa, tüm yazılım geliştirme yaşam döngüsü araç zincirinden ve içinde depolanan eserlerden yararlanabilirler.

Aqua özellikle 250 milyonun üzerinde eser ve açığa çıkan 65.000'den fazla kapsayıcı görüntüsü keşfetti; binlerce yanlış yapılandırılmış kapsayıcı görüntüsü, kapsayıcı görüntü kayıtları ("Red Hat Quay") ve yapı kayıtları ("JFrog Artifactory" ve "Sonatype nexus").

Soruşturma ayrıca bazı durumlarda şirketlerin son derece kritik ortamları gerektiği gibi güvence altına almada başarısız olduğunu da ortaya çıkardı. Diğer durumlarda, hassas bilgiler açık kaynak alanlarına girmiş ve bu ortamları internete açık ve saldırılara karşı savunmasız bırakmıştır. Bu ciddi saldırılara yol açabilir.

soruşturma sonuçları

  • güvenlik araştırmacıları 1.400 farklı ana bilgisayarda hassas anahtarlar (sırlar, kimlik bilgileri veya belirteçler dahil) ve 156 ana bilgisayarda uç noktaların (Redis, MongoDB, PostgreSQL veya MySQL gibi) hassas özel adreslerini buldu.
  • 57 kayıt keşfettiler 15'i varsayılan parolayla yönetici erişimine izin veren kritik yanlış yapılandırmalarla.
  • onlar da buldu Bir saldırganın kayıt defterlerini kötü amaçlı kodla zehirlemesine izin verebilecek yükleme izinlerine sahip 2.100'den fazla yapı kaydı. Bazı durumlarda, anonim kullanıcı erişimi, potansiyel saldırganlara, yazılım tedarik zincirine ciddi bir saldırı başlatmak veya yazılım geliştirme yaşam döngüsünü zehirlemek için kullanılabilecek hassas bilgilere (sırlar, anahtarlar ve parolalar gibi) erişim sağladı.

Güvenlik ekipleri için öneriler

Etkilenen kuruluşlardaki güvenlik ekipleri derhal aşağıdaki önlemleri almalıdır:

  • her zaman kontrol etmelisinkayıtların mı yoksa eser yönetim sistemlerinin mi internete bağlı olduğu.
  • Eğer kayıt defteri kasıtlı olarak İnternet'e bağlıysa, sürümde herhangi bir kritik güvenlik açığı olup olmadığını ve varsayılan parolanın kullanılıp kullanılmadığını kontrol etmek önemlidir.
  • şifreler yeterince güçlü olmalı ve düzenli olarak değiştirilmelidir.
  • Anonim kullanıcılar için erişim devre dışı bırakılmalıdır. Bu erişim kasıtlı olarak etkinleştirildiyse, onlara minimum ayrıcalıklar verilmelidir.
  • Bir havuzdaki genel yapılar herhangi bir sır veya hassas bilgi içermediğinden emin olmak için düzenli olarak taranmalıdır.
  • Ve sonunda ifşa edilmiş olabilecek tüm sırları değiştirmelidirler.

Güvenlik Açığı İfşası

Nautilus araştırması, birkaç şirketin sorumlu bir güvenlik açığı ifşa programına sahip olduğunu buldu. Bu programlar önemli araçlardır: BT güvenlik ekiplerinin olası güvenlik açıklarını yapılandırılmış bir şekilde raporlamasına olanak tanır, böylece kuruluşlarının sorunu tehlikeye atılmadan önce hızla düzeltebilir.

Nautilus ayrıca mevcut güvenlik açığı açıklama programlarına sahip şirketlerin yanlış yapılandırmaları bir haftadan daha kısa sürede düzeltebildiklerini de buldu. Böyle bir programı olmayan şirketler için süreç daha zor ve zaman alıcıydı.

Aqua Nautilus Kıdemli Tehdit Araştırmacısı Assaf Morag şöyle açıklıyor: "Kayıt defteri yanlış yapılandırmalarını daha iyi anlamak, bu yanlış yapılandırmaların arkasındaki şirketler hakkında daha fazla bilgi edinmek ve yetenekli bir saldırganın korumasız bir şekilde ve yanlış yapılandırılmış kayıt defterlerinden nasıl yararlanabileceğini görmek amacıyla araştırmamıza başladık. . Sonuçlar hem şaşırtıcı hem de oldukça endişe vericiydi. Ortaya çıkardığımız risklerin boyutunu göz önünde bulundurarak, etkilenen şirketlerin güvenlik ekiplerini olağan prosedüre göre bilgilendirdik.

Aquasec.com'da daha fazlası

 

Aqua Güvenlik Hakkında

Aqua Security, en büyük saf bulut yerel güvenlik sağlayıcısıdır. Aqua, müşterilerine yenilik yapma ve dijital dönüşümlerini hızlandırma özgürlüğü veriyor. Aqua Platform, tedarik zincirini, bulut altyapısını ve devam eden iş yüklerini nerede devreye alındıklarından bağımsız olarak güvence altına almak için uygulama yaşam döngüsü boyunca önleme, tespit ve yanıt otomasyonu sağlar.

 

Konuyla ilgili makaleler

5G ortamları için koruma sağlayan siber güvenlik platformu

Siber güvenlik uzmanı Trend Micro, kuruluşların sürekli genişleyen saldırı yüzeyini korumaya yönelik platform tabanlı yaklaşımını açıklıyor. ➡ Devamını oku

Veri manipülasyonu, hafife alınan tehlike

Her yıl 31 Mart Dünya Yedekleme Günü, güncel ve kolay erişilebilir yedeklemelerin öneminin bir hatırlatıcısıdır ➡ Devamını oku

Güvenlik riski olarak yazıcılar

Kurumsal yazıcı filoları giderek kör nokta haline geliyor ve verimlilikleri ve güvenlikleri açısından çok büyük sorunlar yaratıyor. ➡ Devamını oku

Yapay Zeka Yasası ve veri korumasına ilişkin sonuçları

Yapay Zeka Yasası ile yapay zekaya yönelik ilk yasa onaylandı ve yapay zeka uygulamaları üreticilerine altı ay ila ➡ Devamını oku

Windows işletim sistemleri: Neredeyse iki milyon bilgisayar risk altında

Windows 7 ve 8 işletim sistemleri için artık herhangi bir güncelleme bulunmamaktadır. Bu, açık güvenlik boşlukları anlamına gelir ve bu nedenle değerli ve ➡ Devamını oku

Kurumsal Depolamadaki yapay zeka, fidye yazılımlarıyla gerçek zamanlı olarak savaşır

NetApp, fidye yazılımlarıyla mücadele etmek için yapay zekayı (AI) ve makine öğrenimini (ML) doğrudan birincil depolamaya entegre eden ilk şirketlerden biridir ➡ Devamını oku

Sıfır Güven Veri Güvenliği için DSPM ürün paketi

Veri Güvenliği Duruş Yönetimi - kısaca DSPM - şirketlerin çokluğa karşı siber dayanıklılık sağlamaları açısından çok önemlidir ➡ Devamını oku

HeadCrab 2.0 keşfedildi

Redis sunucularına yönelik 2021 yılından bu yana aktif olan HeadCrab kampanyası, yeni sürümle birlikte hedeflere başarıyla bulaşmayı sürdürüyor. Suçluların mini blogu ➡ Devamını oku

Halkla İlişkiler Mesajları
, , , ,