Піонер у сфері хмарної безпеки виявив тисячі відкритих реєстрів і сховищ артефактів, що містять понад 250 мільйонів артефактів і понад 65.000 XNUMX зображень контейнерів.
Багато з цих артефактів і зображень містили дуже конфіденційний і чутливий власний код і «секрети». Команда дослідників ІТ-безпеки Aqua, Team Nautilus, виявила неправильні конфігурації, які поставили під загрозу тисячі компаній будь-якого розміру в усьому світі, включно з п’ятьма компаніями зі списку Fortune 500 і двома великими постачальниками ІТ-безпеки. В IBM, наприклад, внутрішній реєстр контейнерів був відкритий для Інтернету: після того, як дослідники Nautilus повідомили місцеву групу безпеки, доступ до Інтернету до цих середовищ було закрито, а ризики мінімізовані. Aqua повідомила команди безпеки про потенційно постраждалі компанії, зокрема Alibaba та Cisco.
ланцюг поставок програмного забезпечення
Реєстри та системи керування артефактами є критично важливими елементами в ланцюжку постачання програмного забезпечення, що робить їх основною мішенню для кіберзлочинців. Багато компаній навмисно відкривають свої реєстри контейнерів і артефактів для зовнішнього світу. Однак іноді вони не усвідомлюють небезпеки або не можуть контролювати конфіденційну інформацію та так звані секрети. Якщо зловмисникам вдасться отримати до нього доступ, вони зможуть використати весь ланцюжок інструментів життєвого циклу розробки програмного забезпечення та збережені в ньому артефакти.
Зокрема, Aqua виявила понад 250 мільйонів артефактів і понад 65.000 XNUMX відкритих зображень контейнерів — понад тисячі неправильно налаштованих зображень контейнерів, реєстрів зображень контейнерів («Red Hat Quay») і реєстрів артефактів («JFrog Artifactory» і «Sonatype nexus»).
Розслідування також виявило, що в деяких випадках компанії не змогли належним чином захистити дуже критичні середовища. В інших випадках конфіденційна інформація потрапляє у зони з відкритим кодом, залишаючи ці середовища відкритими для Інтернету та вразливими для атак. Це може призвести до серйозних нападів.
результати розслідування
- Дослідники безпеки знайшов конфіденційні ключі (включаючи секрети, облікові дані або токени) на 1.400 різних хостах, а також конфіденційні приватні адреси кінцевих точок (наприклад, Redis, MongoDB, PostgreSQL або MySQL) на 156 хостах.
- Виявлено 57 реєстрів із критично неправильними конфігураціями, 15 із яких дозволяли доступ адміністратора за допомогою пароля за умовчанням.
- Знайшли також Понад 2.100 реєстрів артефактів із дозволами на завантаження, які можуть дозволити зловмиснику отруїти реєстри шкідливим кодом. У деяких випадках анонімний доступ користувача надавав потенційним зловмисникам доступ до конфіденційної інформації (наприклад, секретів, ключів і паролів), яка могла бути використана для серйозної атаки на ланцюг постачання програмного забезпечення або отруїти життєвий цикл розробки програмного забезпечення.
Рекомендації для команд безпеки
Команди безпеки постраждалих організацій повинні негайно вжити таких заходів:
- Потрібно завжди перевірятичи підключені реєстри чи системи керування артефактами до Інтернету.
- Якщо реєстр навмисно підключений до Інтернету, важливо перевірити, чи версія не має критичних вразливостей безпеки та чи використовується пароль за замовчуванням.
- паролі має бути достатньо міцним і регулярно змінюватися.
- Доступ для анонімних користувачів має бути вимкнено. Якщо цей доступ увімкнено навмисно, їм слід надати мінімальні привілеї.
- Загальнодоступні артефакти в сховищі слід регулярно сканувати, щоб переконатися, що вони не містять секретів або конфіденційної інформації.
- І, нарешті вони повинні змінити будь-які секрети, які могли бути розголошені.
Розкриття вразливості
Дослідження Nautilus показало, що небагато компаній мають відповідальну програму розкриття вразливостей. Ці програми є важливими інструментами: вони дозволяють групам ІТ-безпеки структуровано повідомляти про потенційні вразливості, щоб їхня організація могла швидко вирішити проблему, перш ніж вона буде скомпрометована.
Nautilus також виявив, що компанії з існуючими програмами виявлення вразливостей змогли виправити неправильні конфігурації менш ніж за тиждень. Для компаній без такої програми процес був складнішим і трудомістким.
Ассаф Мораг, старший дослідник загроз в Aqua Nautilus, пояснює: «Ми розпочали наше дослідження з метою кращого розуміння неправильних конфігурацій реєстрів, з’ясування більше про компанії, які стоять за цими неправильними конфігураціями, і визначення того, як досвідчений зловмисник може використати незахищені та використовуватиме неправильно налаштовані реєстри. . Результати були як несподіваними, так і дуже тривожними. З огляду на ступінь ризиків, які ми виявили, ми повідомили служби безпеки постраждалих компаній відповідно до звичайної процедури.
Більше на Aquasec.com
Про Aqua Security Aqua Security є найбільшим постачальником нативної безпеки в чистій хмарі. Aqua дає своїм клієнтам свободу впроваджувати інновації та прискорювати свою цифрову трансформацію. Платформа Aqua Platform забезпечує запобігання, виявлення та автоматизацію реагування протягом життєвого циклу додатків, щоб захистити ланцюжок поставок, хмарну інфраструктуру та поточні робочі навантаження — незалежно від того, де вони розгорнуті.
Статті по темі