ארגונים רבים, כולל כמה מהחברות הגדולות בעולם, נמצאים בסיכון מוגבר לפשרה וגניבת נתונים מרישומי תוכנה ומאגרי חפצים שגויים בתצורה שגויה ומאובטחים גרועים, כך הראה מחקר חדש.
מחקר שביצע לאחרונה ספקית אבטחת הענן, Aqua Security, חשף כ-250 מיליון חפצי תוכנה ויותר מ-65,000 תמונות מכולות חשופות ונגישות לאינטרנט באלפי רישום ומאגרים. כ-1,400 מארחים אפשרו גישה לסודות, מפתחות, סיסמאות ונתונים רגישים אחרים שבהם יכול התוקף להשתמש כדי להתקפת שרשרת אספקה, או להרעיל סביבת פיתוח תוכנה ארגונית.
חשיפת רישום רחבה
אקווה גילתה 57 רישום עם הגדרות שגויות קריטיות, כולל 15 שאפשרו לתוקף לקבל הרשאות אדמין רק עם סיסמת ברירת המחדל; 2,100 רישום חפצים הציעו הרשאות העלאה, מה שעשוי לתת למשתמשים אנונימיים דרך להעלות קוד זדוני לרישום.
בסך הכל, אקווה מצאה כמעט 12,800 רישומי תמונות מיכל שהיו נגישים דרך האינטרנט, מתוכם 2,839 אפשרו גישה אנונימית למשתמשים. על 1,400 מארחים, מצאו חוקרי אקווה לפחות רכיב נתונים רגיש אחד כגון מפתחות, אסימונים ואישורים; ב-156 מארחים החברה מצאה כתובות פרטיות של נקודות קצה כמו MongoDB, Redis ו-PostgreSQL.
בין אלפי הארגונים שנפגעו היו כמה חברות Fortune 500. אחת מהן הייתה IBM, שחשפה רישום קונטיינרים פנימי לאינטרנט והעמידה נתונים רגישים בסכנת גישה. החברה התייחסה לנושא לאחר שהחוקרים של אקווה הודיעו לה על גילוים. ארגונים בולטים אחרים שעלולים להעמיד את הנתונים שלהם בסיכון דומה כללו את סימנס, סיסקו ועליבאבא. בנוסף, אקווה מצאה סודות תוכנה ברישוםים השייכים לפחות לשתי חברות אבטחת סייבר שנחשפו לאינטרנט. הנתונים של אקווה מבוססים על ניתוח של תמונות מיכל, רישום מכולות של Red Hat Quay, JFrog Artifactory ו-Sonatype Nexus אומנות.
"זה קריטי שארגונים מכל הגדלים ברחבי העולם יקדישו רגע כדי לוודא שהרישום שלהם - בין אם ציבורי או פרטי - מאובטח", מייעץ אסף מורג, מנתח מודיעין ונתונים ראשי של אקווה סקיוריטי. ארגונים שיש להם קוד ברישום ציבורי או שחיברו את הרישום שלהם לאינטרנט ומאפשרים גישה אנונימית צריכים לוודא שהקוד והרישום שלהם אינם מכילים סודות, קניין רוחני או מידע רגיש, הוא אומר.
"המארחים היו שייכים לאלפי ארגונים ברחבי העולם - החל לפי תעשייה, גודל וגיאוגרפיה", מציין מורג. "זה אומר שהיתרונות עבור תוקף יכולים גם לנוע."
רישום ומאגרים מסוכנים
המחקר של אקווה הוא האחרון להדגיש את הסיכונים לעסקים ממידע ברישום תוכנה, מאגרים ומערכות ניהול חפצים. צוותי פיתוח משתמשים ברישום תוכנה כדי לאחסן, לנהל ולהפיץ תוכנות, ספריות וכלים ולהשתמש במאגרים לאחסון ותחזוקה מרכזית של חבילות תוכנה ספציפיות מתוך הרישום. תפקידם של מאגרי חפצים הוא לעזור לארגונים לאחסן ולנהל חפצים של פרויקט תוכנה כגון קוד מקור, קבצים בינאריים, תיעוד ובניית חפצים. מערכות ניהול חפצים יכולות לכלול גם תמונות וחבילות Docker ממאגרים ציבוריים כגון Maven, NPM ו-NuGet.
לעתים קרובות, ארגונים המשתמשים בקוד מקור פתוח בפרויקטים שלהם - פרקטיקה כמעט בכל מקום בשלב זה - מחברים את הרישום הפנימיים ומערכות ניהול החפצים שלהם לאינטרנט ומאפשרים גישה אנונימית לחלקים מסוימים של הרישום. לדוגמה, צוות פיתוח תוכנה המשתמש ב-JFrog Artifactory כמאגר פנימי יכול להגדיר גישה חיצונית כך שלקוחות ושותפים יוכלו לשתף את החפצים שלו.
לאיים על שחקנים המבקשים לסכן פיתוח תוכנה ארגונית סביבות החלו יותר ויותר להתמקד ברישומי תוכנה ומאגרים בשנים האחרונות. חלק מהתקיפות כללו ניסיונות של גורמי איום לעשות זאת להציג קוד זדוני לתוך פיתוח ולבנות סביבות ישירות או באמצעות חבילות מורעלות נטועים על NPM, PyPI ומאגרים ציבוריים אחרים בשימוש נרחב. במקרים אחרים, גורמי איומים כיוונו לכלים אלה כדי לקבל גישה למידע הרגיש כגון אישורים, סיסמאות וממשקי API המאוחסנים בהם.
המחקר של אקווה הראה שבמקרים רבים, ארגונים מקלים בטעות על התוקפים לבצע התקפות אלו על ידי חיבור בטעות של רישום המכילים מידע רגיש לאינטרנט, פרסום סודות במאגרים ציבוריים, שימוש בסיסמאות ברירת מחדל לבקרת גישה והענקת רישום מוגזם מדי. הרשאות למשתמשים.
באחד המקרים, אקווה חשפה בנק עם רישום פתוח הכולל יישומי בנקאות מקוונים. "תוקף יכול היה למשוך את המכולה, ואז לשנות אותה ולדחוף אותה לאחור", אומר מורג.
במקרה אחר, אקווה גילתה שני רישום מיכלים שגויים, השייכים לצוות הפיתוח וההנדסה של חברת טכנולוגיה Fortune 100. אקווה מצאה שהרשמים מכילים כל כך הרבה מידע רגיש ומעניקים כל כך הרבה גישה והרשאות לגרימת נזק, עד שהחברה החליטה לעצור את המחקר שלה ולהודיע לחברת הטכנולוגיה על הנושא. במקרה זה, חוסר האבטחה נבע ממהנדס פיתוח שפתח את הסביבה תוך כדי עבודה על פרויקט צדדי לא מאושר.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- הטבעת העתיד עם אדריאן אשלי. גישה כאן.
- מקור: https://www.darkreading.com/application-security/millions-artifacts-misconfigured-enterprise-software-registries-pwning
- :יש ל
- :הוא
- $ למעלה
- 000
- 1
- 100
- 500
- 7
- a
- גישה
- נגיש
- שחקנים
- תוספת
- כתובות
- מנהל
- לאחר
- Alibaba
- תעשיות
- גם
- an
- אנליזה
- מנתח
- ו
- אנונימי
- אחר
- ממשקי API
- יישומים
- אקווה
- ARE
- סביב
- AS
- At
- לתקוף
- המתקפות
- ניסיונות
- בחזרה
- בנק
- בנקאות
- מבוסס
- התחיל
- הטבות
- לִבנוֹת
- עסקים
- by
- CAN
- לשאת
- מקרה
- מקרים
- מסוים
- שרשרת
- סיסקו
- קוד
- חברות
- חברה
- פשרה
- מנוהל
- מחובר
- מקשר
- להכיל
- מכולה
- לִשְׁלוֹט
- יכול
- אישורים
- קריטי
- לקוחות
- אבטחת סייבר
- נתונים
- החליט
- בְּרִירַת מֶחדָל
- צעצועי התפתחות
- ישירות
- גילה
- תגלית
- לְהָפִיץ
- סַוָר
- תיעוד
- עושה
- דון
- קל יותר
- אלמנט
- מופעל
- מהנדס
- הנדסה
- לְהַבטִיחַ
- מִפְעָל
- תוכנה ארגונית
- סביבה
- סביבות
- חשוף
- חיצוני
- משתתפים
- קבצים
- חברות
- בעד
- הון עתק
- מצא
- החל מ-
- פונקציה
- לְהַשִׂיג
- גאוגרפיה
- הענקת
- כובע
- יש
- he
- מוגבר
- לעזור
- להבליט
- מארחים
- HTTPS
- יבמ
- תמונה
- תמונות
- in
- באחר
- לכלול
- כלול
- כולל
- יותר ויותר
- תעשייה
- לְהוֹדִיעַ
- מידע
- הודעה
- למשל
- אִינטֶלֶקְטוּאַלִי
- קניין רוחני
- מוֹדִיעִין
- פנימי
- אינטרנט
- אל תוך
- מעורב
- סוגיה
- IT
- שֶׁלָה
- jpg
- רק
- מפתחות
- הגדול ביותר
- האחרון
- עוֹפֶרֶת
- ספריות
- שמירה
- עשייה
- לנהל
- ניהול
- רב
- Maven
- אומר
- מִילִיוֹן
- מיליונים
- שונים
- רֶגַע
- MongoDB
- יותר
- הר
- כמעט
- חדש
- קשר
- יַקִיר
- הערות
- of
- מוצע
- on
- ONE
- באינטרנט
- בנקאות מקוונת
- לפתוח
- קוד פתוח
- פתיחה
- or
- ארגונים
- אחר
- יותר
- חבילות
- שותפים
- סיסמה
- סיסמאות
- הרשאות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- רעל
- פוסטגרסל
- פוטנציאל
- תרגול
- פְּרָטִי
- הרשאות
- פּרוֹיֶקט
- פרויקטים
- רכוש
- ציבורי
- דחף
- גם
- רכס
- טִוּוּחַ
- לאחרונה
- לאחרונה
- Red
- רד האט
- רישום
- מאגר
- מחקר
- חוקרים
- הסיכון
- סיכונים
- s
- אומר
- לבטח
- מְאוּבטָח
- אבטחה
- מחפשים
- רגיש
- כמה
- שיתוף
- צריך
- הראה
- צד
- סימנס
- דומה
- מידה
- גדל
- So
- תוכנה
- פיתוח תוכנה
- כמה
- מָקוֹר
- קוד מקור
- ספציפי
- חנות
- מאוחסן
- אחסון
- לימוד
- כזה
- לספק
- שרשרת אספקה
- מערכות
- לקחת
- ממוקד
- מיקוד
- נבחרת
- צוותי
- טכנולוגיה
- מֵאֲשֶׁר
- זֶה
- השמיים
- העולם
- גְנֵבָה
- שֶׁלָהֶם
- אותם
- אלה
- זֶה
- אלפים
- איום
- איום שחקנים
- ל
- מטבעות
- כלים
- נמצא בכל מקום
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- באמצעות
- מוכר
- לאמת
- היה
- דֶרֶך..
- היו
- אם
- אשר
- בזמן
- באופן נרחב
- עם
- בתוך
- עובד
- עוֹלָם
- שנים
- זפירנט
