Bulut yerel güvenliğinde bir öncü, 250 milyondan fazla yapıt ve 65.000'den fazla kapsayıcı görüntüsü içeren binlerce açığa çıkmış kayıt defteri ve yapı deposu keşfetti.
Bu eserlerin ve görüntülerin çoğu, oldukça gizli ve hassas özel kod ve "sırlar" içeriyordu. Aqua'nın BT güvenlik araştırmacıları ekibi Team Nautilus, Fortune 500'den beşi ve iki büyük BT güvenlik satıcısı da dahil olmak üzere dünya çapında her ölçekten binlerce şirketi riske atan yanlış yapılandırmaları ortaya çıkardı. Örneğin IBM'de dahili bir konteyner kaydı İnternet'e maruz kaldı: Nautilus araştırmacıları yerel güvenlik ekibini bilgilendirdikten sonra, bu ortamlara İnternet erişimi kapatıldı ve riskler en aza indirildi. Aqua, Alibaba ve Cisco da dahil olmak üzere potansiyel olarak etkilenen şirketlerin güvenlik ekiplerine bilgi verdi.
yazılım tedarik zinciri
Kayıtlar ve yapı yönetim sistemleri, yazılım tedarik zincirindeki kritik unsurlardır ve bu da onları siber suçlular için birincil hedef haline getirir. Birçok firma konteyner ve eser kayıtlarını bilerek dış dünyaya açmaktadır. Ancak bazen tehlikelerin farkında değiller veya hassas bilgileri ve sözde sırları kontrol edemiyorlar. Saldırganlar buna erişmeyi başarırsa, tüm yazılım geliştirme yaşam döngüsü araç zincirinden ve içinde depolanan eserlerden yararlanabilirler.
Aqua özellikle 250 milyonun üzerinde eser ve açığa çıkan 65.000'den fazla kapsayıcı görüntüsü keşfetti; binlerce yanlış yapılandırılmış kapsayıcı görüntüsü, kapsayıcı görüntü kayıtları ("Red Hat Quay") ve yapı kayıtları ("JFrog Artifactory" ve "Sonatype nexus").
Soruşturma ayrıca bazı durumlarda şirketlerin son derece kritik ortamları gerektiği gibi güvence altına almada başarısız olduğunu da ortaya çıkardı. Diğer durumlarda, hassas bilgiler açık kaynak alanlarına girmiş ve bu ortamları internete açık ve saldırılara karşı savunmasız bırakmıştır. Bu ciddi saldırılara yol açabilir.
soruşturma sonuçları
- güvenlik araştırmacıları 1.400 farklı ana bilgisayarda hassas anahtarlar (sırlar, kimlik bilgileri veya belirteçler dahil) ve 156 ana bilgisayarda uç noktaların (Redis, MongoDB, PostgreSQL veya MySQL gibi) hassas özel adreslerini buldu.
- 57 kayıt keşfettiler 15'i varsayılan parolayla yönetici erişimine izin veren kritik yanlış yapılandırmalarla.
- onlar da buldu Bir saldırganın kayıt defterlerini kötü amaçlı kodla zehirlemesine izin verebilecek yükleme izinlerine sahip 2.100'den fazla yapı kaydı. Bazı durumlarda, anonim kullanıcı erişimi, potansiyel saldırganlara, yazılım tedarik zincirine ciddi bir saldırı başlatmak veya yazılım geliştirme yaşam döngüsünü zehirlemek için kullanılabilecek hassas bilgilere (sırlar, anahtarlar ve parolalar gibi) erişim sağladı.
Güvenlik ekipleri için öneriler
Etkilenen kuruluşlardaki güvenlik ekipleri derhal aşağıdaki önlemleri almalıdır:
- her zaman kontrol etmelisinkayıtların mı yoksa eser yönetim sistemlerinin mi internete bağlı olduğu.
- Eğer kayıt defteri kasıtlı olarak İnternet'e bağlıysa, sürümde herhangi bir kritik güvenlik açığı olup olmadığını ve varsayılan parolanın kullanılıp kullanılmadığını kontrol etmek önemlidir.
- şifreler yeterince güçlü olmalı ve düzenli olarak değiştirilmelidir.
- Anonim kullanıcılar için erişim devre dışı bırakılmalıdır. Bu erişim kasıtlı olarak etkinleştirildiyse, onlara minimum ayrıcalıklar verilmelidir.
- Bir havuzdaki genel yapılar herhangi bir sır veya hassas bilgi içermediğinden emin olmak için düzenli olarak taranmalıdır.
- Ve sonunda ifşa edilmiş olabilecek tüm sırları değiştirmelidirler.
Güvenlik Açığı İfşası
Nautilus araştırması, birkaç şirketin sorumlu bir güvenlik açığı ifşa programına sahip olduğunu buldu. Bu programlar önemli araçlardır: BT güvenlik ekiplerinin olası güvenlik açıklarını yapılandırılmış bir şekilde raporlamasına olanak tanır, böylece kuruluşlarının sorunu tehlikeye atılmadan önce hızla düzeltebilir.
Nautilus ayrıca mevcut güvenlik açığı açıklama programlarına sahip şirketlerin yanlış yapılandırmaları bir haftadan daha kısa sürede düzeltebildiklerini de buldu. Böyle bir programı olmayan şirketler için süreç daha zor ve zaman alıcıydı.
Aqua Nautilus Kıdemli Tehdit Araştırmacısı Assaf Morag şöyle açıklıyor: "Kayıt defteri yanlış yapılandırmalarını daha iyi anlamak, bu yanlış yapılandırmaların arkasındaki şirketler hakkında daha fazla bilgi edinmek ve yetenekli bir saldırganın korumasız bir şekilde ve yanlış yapılandırılmış kayıt defterlerinden nasıl yararlanabileceğini görmek amacıyla araştırmamıza başladık. . Sonuçlar hem şaşırtıcı hem de oldukça endişe vericiydi. Ortaya çıkardığımız risklerin boyutunu göz önünde bulundurarak, etkilenen şirketlerin güvenlik ekiplerini olağan prosedüre göre bilgilendirdik.
Aquasec.com'da daha fazlası
Aqua Güvenlik Hakkında Aqua Security, en büyük saf bulut yerel güvenlik sağlayıcısıdır. Aqua, müşterilerine yenilik yapma ve dijital dönüşümlerini hızlandırma özgürlüğü veriyor. Aqua Platform, tedarik zincirini, bulut altyapısını ve devam eden iş yüklerini nerede devreye alındıklarından bağımsız olarak güvence altına almak için uygulama yaşam döngüsü boyunca önleme, tespit ve yanıt otomasyonu sağlar.
Konuyla ilgili makaleler