Uusi tutkimus on osoittanut, että monet organisaatiot, mukaan lukien jotkut maailman suurimmista yrityksistä, ovat suuremmassa vaarassa joutua vaarantumaan ja joutumaan tietovarkauksiin väärin määritetyistä ja huonosti suojatuista ohjelmistorekistereistä ja artefaktivarastoista.
Pilvitietoturvatoimittajan Aqua Securityn äskettäin tekemä tutkimus paljasti noin 250 miljoonaa ohjelmistoartefaktia ja yli 65,000 1,400 konttikuvaa, jotka ovat näkyvissä ja Internetin kautta käytettävissä tuhansissa rekistereissä ja arkistoissa. Noin XNUMX XNUMX isäntä salli pääsyn salaisuuksiin, avaimiin, salasanoihin ja muihin arkaluontoisiin tietoihin, joita hyökkääjä saattoi käyttää toimitusketjuhyökkäykseen tai yrityksen ohjelmistokehitysympäristön myrkyttämiseen.
Laaja rekisterialtistus
Aqua löysi 57 rekisteriä, joissa oli kriittisiä virheellisiä määrityksiä, joista 15 mahdollisti hyökkääjän saada järjestelmänvalvojan oikeudet pelkällä oletussalasanalla. 2,100 XNUMX artefaktirekisteriä tarjosi latauslupia, mikä mahdollisesti antoi anonyymeille käyttäjille tavan ladata haitallista koodia rekisteriin.
Kaiken kaikkiaan Aqua löysi lähes 12,800 2,839 konttikuvarekisteriä, jotka olivat käytettävissä Internetin kautta, joista 1,400 XNUMX salli nimettömän pääsyn. XNUMX XNUMX isännällä, Aqua-tutkijat löysivät vähintään yksi arkaluonteinen tietoelementti, kuten avaimet, tunnukset ja valtuustiedot; 156 isännästä yritys löysi yksityisiä osoitteita päätepisteille, kuten MongoDB, Redis ja PostgreSQL.
Tuhansien vaikutuspiirien kohteena olevien organisaatioiden joukossa oli useita Fortune 500 -yrityksiä. Yksi niistä oli IBM, joka oli paljastanut sisäisen konttirekisterin Internetiin ja asettanut arkaluontoiset tiedot pääsyn vaaraan. Yritys käsitteli asiaa sen jälkeen, kun Aquan tutkijat ilmoittivat sille löydöstään. Muita merkittäviä organisaatioita, jotka olivat mahdollisesti asettaneet tietonsa samanlaiseen riskiin, olivat Siemens, Cisco ja Alibaba. Lisäksi Aqua löysi ohjelmistosalaisuuksia rekistereistä, jotka kuuluivat vähintään kahdelle Internetille altistuneelle kyberturvayritykselle. Aquan tiedot perustuvat konttikuvien, Red Hat Quayn konttirekisterien, JFrog Artifactoryn ja Sonatype Nexus -artefaktirekisterien analyysiin.
"On tärkeää, että kaikenkokoiset organisaatiot ympäri maailmaa käyttävät hetken varmistaakseen, että niiden rekisterit – olivatpa ne julkiset tai yksityiset - ovat turvallisia", neuvoo Assaf Morag, Aqua Securityn johtava uhkien tiedustelu- ja tietoanalyytikko. Organisaatioiden, joilla on koodi julkisissa rekistereissä tai jotka ovat yhdistäneet rekisterinsä Internetiin ja sallivat anonyymin pääsyn, tulee varmistaa, että heidän koodinsa ja rekisterinsä eivät sisällä salaisuuksia, immateriaalioikeuksia tai arkaluonteisia tietoja, hän sanoo.
"Isännät kuuluivat tuhansille organisaatioille ympäri maailmaa - toimialan, koon ja maantieteellisen alueen mukaan", Morag huomauttaa. "Tämä tarkoittaa, että hyökkääjän edut voivat myös vaihdella."
Riskialtis rekisterit ja arkistot
Aquan tutkimus on uusin, joka korostaa ohjelmistorekisterien, tietovarastojen ja artefaktien hallintajärjestelmien tiedoista yrityksille aiheutuvia riskejä. Kehitystiimit käyttävät ohjelmistorekistereitä ohjelmistojen, kirjastojen ja työkalujen tallentamiseen, hallintaan ja jakeluun sekä tietovarastoja tiettyjen ohjelmistopakettien keskitettyyn tallentamiseen ja ylläpitoon rekisterin sisällä. Artefaktivarastojen tehtävänä on auttaa organisaatioita tallentamaan ja hallitsemaan ohjelmistoprojektin artefakteja, kuten lähdekoodia, binaaritiedostoja, dokumentaatiota ja rakentamaan artefakteja. Artefakttien hallintajärjestelmät voivat sisältää myös Docker-kuvia ja paketteja julkisista arkistoista, kuten Maven, NPM ja NuGet.
Usein organisaatiot, jotka käyttävät projekteissaan avointa lähdekoodia – lähes kaikkialla vallitseva käytäntö tässä vaiheessa – yhdistävät sisäiset rekisterinsä ja esineiden hallintajärjestelmänsä Internetiin ja sallivat nimettömän pääsyn tiettyihin rekisterin osiin. Esimerkiksi ohjelmistokehitystiimi, joka käyttää JFrog Artifactorya sisäisenä arkistona, voi määrittää ulkoisen pääsyn, jotta asiakkaat ja kumppanit voivat jakaa sen artefakteja.
Uhkatoimijat pyrkivät vaarantaa yrityksen ohjelmistokehityksen ympäristöt ovat viime vuosina alkaneet kohdistua yhä enemmän ohjelmistorekistereihin ja tietovarastoihin. Osa hyökkäyksistä on liittynyt uhkatekijöiden yrityksiin ottaa käyttöön haitallista koodia kehittämään ja rakentamaan ympäristöjä suoraan tai myrkytettyjen pakettien kautta istutettu NPM:ään, PyPI:hen ja muihin laajalti käytettyihin julkisiin arkistoihin. Muissa tapauksissa uhkatoimijat ovat kohdistaneet näihin työkaluihin päästäkseen käsiksi niihin tallennettuihin arkaluontoisiin tietoihin, kuten valtuustietoihin, salasanoihin ja sovellusliittymiin.
Aquan tutkimus osoitti, että monissa tapauksissa organisaatiot helpottavat vahingossa hyökkääjien kykyä toteuttaa näitä hyökkäyksiä yhdistämällä vahingossa arkaluontoisia tietoja sisältäviä rekistereitä Internetiin, julkaisemalla salaisuuksia julkisiin tietovarastoihin, käyttämällä oletussalasanoita pääsyn hallintaan ja myöntämällä liian suuria salasanoja. oikeuksia käyttäjille.
Yhdessä tapauksessa Aqua löysi pankin, jolla oli avoin verkkopankkisovellusten rekisteri. "Hyökkääjä olisi voinut vetää konttia, muokata sitä ja työntää sitä takaisin", Morag sanoo.
Toisessa tapauksessa Aqua löysi kaksi väärin konfiguroitua konttirekisteriä, jotka kuuluivat Fortune 100 -teknologiayrityksen kehitys- ja suunnittelutiimiin. Aqua havaitsi, että rekistereissä oli niin paljon arkaluontoista tietoa ja niillä oli niin paljon pääsyä ja etuoikeuksia vahinkojen tekemiseen, että yritys päätti keskeyttää tutkimuksensa ja ilmoittaa asiasta teknologiayritykselle. Tässä tapauksessa tietoturvaongelma johtui siitä, että kehitysinsinööri avasi ympäristöä työskennellessään hyväksymättömässä sivuprojektissa.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
- Lähde: https://www.darkreading.com/application-security/millions-artifacts-misconfigured-enterprise-software-registries-pwning
- :on
- :On
- $ YLÖS
- 000
- 1
- 100
- 500
- 7
- a
- pääsy
- saatavilla
- toimijoiden
- Lisäksi
- osoitteet
- admin
- Jälkeen
- Alibaba
- Kaikki
- Myös
- an
- analyysi
- analyytikko
- ja
- anonyymi
- Toinen
- API
- sovellukset
- aqua
- OVAT
- noin
- AS
- At
- hyökkäys
- Hyökkäykset
- yrityksiä
- takaisin
- Pankki
- Pankkitoiminta
- perustua
- alkaneet
- Hyödyt
- rakentaa
- yritykset
- by
- CAN
- kuljettaa
- tapaus
- tapauksissa
- tietty
- ketju
- Cisco
- koodi
- Yritykset
- yritys
- kompromissi
- tehty
- kytketty
- Kytkeminen
- sisältää
- Kontti
- ohjaus
- voisi
- Valtakirja
- kriittinen
- Asiakkaat
- tietoverkkojen
- tiedot
- päätti
- oletusarvo
- Kehitys
- suoraan
- löysi
- löytö
- jakaa
- Satamatyöläinen
- dokumentointi
- tekee
- Don
- helpompaa
- elementti
- käytössä
- insinööri
- Tekniikka
- varmistaa
- yritys
- yritysohjelmistot
- ympäristö
- ympäristöissä
- avoin
- ulkoinen
- Featuring
- Asiakirjat
- yritykset
- varten
- rikkaus
- löytyi
- alkaen
- toiminto
- Saada
- maantiede
- myöntäminen
- hattu
- Olla
- he
- kohonnut
- auttaa
- Korostaa
- isännät
- HTTPS
- IBM
- kuva
- kuvien
- in
- Muilla
- sisältää
- mukana
- Mukaan lukien
- yhä useammin
- teollisuus
- ilmoittaa
- tiedot
- tietoa
- esimerkki
- henkinen
- tekijänoikeuksien
- Älykkyys
- sisäinen
- Internet
- tulee
- osallistuva
- kysymys
- IT
- SEN
- jpg
- vain
- avaimet
- suurin
- uusin
- johtaa
- kirjastot
- ylläpitäminen
- Tekeminen
- hoitaa
- johto
- monet
- Maven
- välineet
- miljoona
- miljoonia
- muokattu
- hetki
- MongoDB
- lisää
- ASENNA
- lähes
- Uusi
- yhteys
- merkittävä
- Huomautuksia
- of
- tarjotaan
- on
- ONE
- verkossa
- verkkopankit
- avata
- avoimen lähdekoodin
- avaaminen
- or
- organisaatioiden
- Muut
- yli
- paketit
- kumppani
- Salasana
- salasanat
- Oikeudet
- Platon
- Platonin tietotieto
- PlatonData
- Kohta
- myrkky
- PostgreSQL
- mahdollisesti
- harjoitusta.
- yksityinen
- oikeudet
- projekti
- hankkeet
- omaisuus
- julkinen
- työntää
- laittaa
- alue
- alainen
- äskettäinen
- äskettäin
- punainen
- Red Hat
- rekisterin
- säilytyspaikka
- tutkimus
- Tutkijat
- Riski
- riskit
- s
- sanoo
- turvallinen
- turvattu
- turvallisuus
- etsiä
- sensible
- useat
- Jaa:
- shouldnt
- esitetty
- puoli
- Siemens
- samankaltainen
- Koko
- koot
- So
- Tuotteemme
- ohjelmistokehitys
- jonkin verran
- lähde
- lähdekoodi
- erityinen
- verkkokaupasta
- tallennettu
- tallentamiseksi
- tutkimus
- niin
- toimittaa
- toimitusketju
- järjestelmät
- ottaa
- kohdennettu
- kohdistaminen
- joukkue-
- tiimit
- Elektroniikka
- kuin
- että
- -
- maailma
- varkaus
- heidän
- Niitä
- Nämä
- tätä
- tuhansia
- uhkaus
- uhka toimijat
- että
- tokens
- työkalut
- kaikkialla läsnä oleva
- käyttää
- käytetty
- käyttäjä
- Käyttäjät
- käyttämällä
- myyjä
- todentaa
- oli
- Tapa..
- olivat
- onko
- joka
- vaikka
- laajalti
- with
- sisällä
- työskentely
- maailman-
- vuotta
- zephyrnet
