Miljonid artefaktid ja valesti konfigureeritud ettevõttetarkvara registrid on Pwningu jaoks valmis

Uus uuring näitas, et paljud organisatsioonid, sealhulgas mõned maailma suurimad ettevõtted, on kõrgendatud ohtu sattuda valesti konfigureeritud ja halvasti turvatud tarkvararegistritest ja artefaktihoidlatest.

Pilveturbe müüja Aqua Security hiljuti läbiviidud uuringud avastasid tuhandetes registrites ja hoidlates umbes 250 miljonit tarkvaraartefakti ja enam kui 65,000 1,400 konteineripilti. Umbes XNUMX hosti võimaldasid juurdepääsu saladustele, võtmetele, paroolidele ja muudele tundlikele andmetele, mida ründaja võis kasutada tarneahela rünnaku korraldamiseks või ettevõtte tarkvaraarenduskeskkonna mürgitamiseks.

Lai registri kokkupuude

Aqua avastas 57 registrit kriitiliste valekonfiguratsioonidega, sealhulgas 15 registrit, mis võimaldasid ründajal saada administraatoriõigused vaid vaikeparooliga; 2,100 artefaktiregistrit pakkusid üleslaadimisõigusi, mis andis anonüümsetele kasutajatele võimaluse pahatahtliku koodi registrisse üleslaadimiseks.

Kokku leidis Aqua ligi 12,800 2,839 konteinerikujutise registrit, millele oli juurdepääs Interneti kaudu, millest 1,400 võimaldas anonüümset juurdepääsu. XNUMX hostil Aqua teadlased leidsid vähemalt üks tundlik andmeelement, nagu võtmed, märgid ja mandaadid; 156 hostilt leidis ettevõte selliste lõpp-punktide privaatsed aadressid nagu MongoDB, Redis ja PostgreSQL.

Tuhandete mõjutatud organisatsioonide hulgas oli mitu Fortune 500 ettevõtet. Üks neist oli IBM, mis oli paljastanud sisemise konteineri registri Internetti ja seadnud tundlikele andmetele juurdepääsu ohtu. Ettevõte käsitles seda küsimust pärast seda, kui Aqua teadlased olid talle oma avastusest teada andnud. Teised märkimisväärsed organisatsioonid, kes olid oma andmed potentsiaalselt sarnasesse ohtu seadnud, olid Siemens, Cisco ja Alibaba. Lisaks leidis Aqua tarkvarasaladusi registritest, mis kuulusid vähemalt kahele internetiga kokku puutuvale küberjulgeolekufirmale. Aqua andmed põhinevad konteineripiltide, Red Hat Quay konteineriregistrite, JFrog Artifactory ja Sonatype Nexuse artefaktiregistrite analüüsil.

„On ülioluline, et igas suuruses organisatsioonid üle kogu maailma võtaksid aega, et kontrollida, kas nende registrid – olgu need avalikud või erasektorid – on turvalised,” nõustab Assaf Morag, Aqua Security juhtivate ohtude luure- ja andmeanalüütik. Organisatsioonid, millel on kood avalikes registrites või on ühendanud oma registrid Internetti ja võimaldavad anonüümset juurdepääsu, peaksid tagama, et nende kood ja registrid ei sisalda saladusi, intellektuaalomandit ega tundlikku teavet, ütleb ta.

"Võõrustajad kuulusid tuhandetesse organisatsioonidesse üle maailma – valdkonna, suuruse ja geograafia järgi," märgib Morag. "See tähendab, et ründaja eelised võivad samuti ulatuda."

Riskantsed registrid ja hoidlad

Aqua uurimus on uusim, mis tõstab esile tarkvararegistrites, hoidlates ja artefaktide haldussüsteemides leiduvatest andmetest tulenevaid riske ettevõtetele. Arendusmeeskonnad kasutavad tarkvara, teekide ja tööriistade salvestamiseks, haldamiseks ja levitamiseks tarkvararegistreid ning hoidlaid konkreetsete tarkvarapakettide tsentraalseks salvestamiseks ja haldamiseks registris. Artefaktide hoidlate ülesanne on aidata organisatsioonidel salvestada ja hallata tarkvaraprojekti artefakte (nt lähtekoodi, binaarfaile, dokumentatsiooni ja koostada artefakte). Artefaktide haldussüsteemid võivad sisaldada ka Dockeri pilte ja pakette avalikest hoidlatest, nagu Maven, NPM ja NuGet.

Sageli ühendavad organisatsioonid, kes kasutavad oma projektides avatud lähtekoodi – praegusel hetkel peaaegu üldlevinud praktika – oma sisemised registrid ja artefaktide haldussüsteemid Internetti ning võimaldavad anonüümset juurdepääsu registri teatud osadele. Näiteks tarkvaraarenduse meeskond, kes kasutab sisemise hoidlana JFrog Artifactoryt, saab konfigureerida välise juurdepääsu, et kliendid ja partnerid saaksid selle artefakte jagada.

Ohunäitlejad, kes soovivad kompromiteerida ettevõtte tarkvaraarendust keskkonnad on viimastel aastatel hakanud üha enam sihtima tarkvararegistreid ja hoidlaid. Mõned rünnakud on hõlmanud ohustajate katseid tutvustada pahatahtlikku koodi arendus- ja ehituskeskkondadesse otse või mürgitatud pakendite kaudu istutatud NPM-i, PyPI-sse ja muudesse laialdaselt kasutatavatesse avalikesse hoidlatesse. Muudel juhtudel on ohus osalejad neid tööriistu sihikule võtnud, et pääseda ligi nendesse salvestatud tundlikule teabele, nagu mandaadid, paroolid ja API-d.

Aqua uuringud näitasid, et paljudel juhtudel muudavad organisatsioonid ründajatele nende rünnakute sooritamise kogemata lihtsamaks, ühendades kogemata tundlikku teavet sisaldavad registrid Internetti, postitades avalikesse hoidlatesse saladusi, kasutades juurdepääsu kontrollimiseks vaikeparoole ja lubades liiga palju. kasutajate privileegid.

Ühel juhul avastas Aqua panga avatud registriga, mis sisaldas Interneti-panga rakendusi. "Ründaja oleks võinud konteineri tõmmata, seejärel muuta ja tagasi lükata," ütleb Morag.

Teisel juhul avastas Aqua kaks valesti konfigureeritud konteinerite registrit, mis kuuluvad Fortune 100 tehnoloogiaettevõtte arendus- ja insenerimeeskonda. Aqua leidis, et registrid sisaldavad nii palju tundlikku teavet ja pakuvad kahju tekitamiseks nii palju juurdepääsu ja privileege, et ettevõte otsustas oma uurimistöö peatada ja teavitada probleemist tehnoloogiaettevõtet. Sel juhul tulenes turbeprobleem sellest, et arendusinsener avas keskkonna heakskiitmata kõrvalprojekti kallal töötades.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
• Allikas: https://www.darkreading.com/application-security/millions-artifacts-misconfigured-enterprise-software-registries-pwning