Miljontals artefakter, felkonfigurerade företagsprogramvaruregister är mogna för Pwning

Många organisationer, inklusive några av världens största företag, löper ökad risk för kompromisser och datastöld från felkonfigurerade och dåligt säkrade programvaruregister och artefaktlager, har en ny studie visat.

Forskning som molnsäkerhetsleverantören Aqua Security nyligen genomförde avslöjade cirka 250 miljoner programvaruartefakter och mer än 65,000 1,400 containerbilder som ligger exponerade och tillgängliga på Internet i tusentals register och arkiv. Cirka XNUMX XNUMX värdar tillät åtkomst till hemligheter, nycklar, lösenord och annan känslig data som en angripare kunde använda för att genomföra en attack i leveranskedjan eller för att förgifta en miljö för företagsutveckling av mjukvara.

Bred registerexponering

Aqua upptäckte 57 register med kritiska felkonfigurationer, inklusive 15 som gjorde det möjligt för en angripare att få administratörsrättigheter med bara standardlösenordet; 2,100 XNUMX artefaktregister erbjöd uppladdningsbehörigheter, vilket potentiellt gav anonyma användare ett sätt att ladda upp skadlig kod till registret.

Sammanlagt hittade Aqua nästan 12,800 2,839 behållarbildregister som var tillgängliga över Internet, varav 1,400 XNUMX tillät anonym användaråtkomst. På XNUMX XNUMX värdar, Vattenforskare hittade minst ett känsligt dataelement såsom nycklar, tokens och referenser; på 156 värdar hittade företaget privata adresser till slutpunkter som MongoDB, Redis och PostgreSQL.

Bland de tusentals berörda organisationerna fanns flera Fortune 500-företag. En av dem var IBM, som hade exponerat ett internt containerregister för Internet och utsatt känslig data för åtkomst. Företaget tog upp problemet efter att Aquas forskare informerade det om deras upptäckt. Andra anmärkningsvärda organisationer som potentiellt hade utsatt sin data för liknande risk var Siemens, Cisco och Alibaba. Dessutom hittade Aqua mjukvaruhemligheter i register som tillhörde minst två cybersäkerhetsföretag exponerade för Internet. Aquas data är baserad på en analys av containerbilder, Red Hat Quay containerregister, JFrog Artifactory och Sonatype Nexus artefaktregister.

"Det är avgörande att organisationer av alla storlekar runt om i världen tar en stund för att verifiera att deras register - oavsett om de är offentliga eller privata - är säkra", råder Assaf Morag, ledande hotintelligens och dataanalytiker på Aqua Security. Organisationer som har kod i offentliga register eller har kopplat sina register till Internet och tillåter anonym åtkomst bör se till att deras kod och register inte innehåller hemligheter, immateriella rättigheter eller känslig information, säger han.

"Värdarna tillhörde tusentals organisationer runt om i världen - allt efter bransch, storlek och geografi," noterar Morag. "Det betyder att fördelarna för en angripare också kan variera."

Riskfyllda register och arkiv

Aquas forskning är den senaste för att belysa riskerna för företag från data i programvaruregister, arkiv och artefakthanteringssystem. Utvecklingsteam använder programvaruregister för att lagra, hantera och distribuera programvara, bibliotek och verktyg och använder förråd för att centralt lagra och underhålla specifika programvarupaket inifrån registret. Funktionen hos artefaktförråd är att hjälpa organisationer att lagra och hantera artefakter i ett programvaruprojekt som källkod, binära filer, dokumentation och bygga artefakter. Artefakthanteringssystem kan också inkludera Docker-bilder och paket från offentliga arkiv som Maven, NPM och NuGet.

Ofta ansluter organisationer som använder öppen källkod i sina projekt - en nästan allestädes närvarande praxis vid denna tidpunkt - sina interna register och artefakthanteringssystem till Internet och tillåter anonym åtkomst till vissa delar av registret. Till exempel kan ett mjukvaruutvecklingsteam som använder JFrog Artifactory som ett internt arkiv konfigurera extern åtkomst så att kunder och partners kan dela dess artefakter.

Hota skådespelare som vill äventyra utvecklingen av företagsmjukvara miljöer har alltmer börjat rikta in sig på programvaruregister och arkiv under de senaste åren. Några av attackerna har involverat försök från hotaktörer att införa skadlig kod in i utveckling och bygga miljöer direkt eller via förgiftade förpackningar planterade på NPM, PyPI och andra allmänt använda offentliga arkiv. I andra fall har hotaktörer riktat in sig på dessa verktyg för att få åtkomst till känslig information såsom inloggningsuppgifter, lösenord och API:er som lagras i dem.

Aquas forskning visade att organisationer i många fall oavsiktligt gör det lättare för angripare att utföra dessa attacker genom att felaktigt koppla register som innehåller känslig information till Internet, lägga upp hemligheter i offentliga arkiv, använda standardlösenord för åtkomstkontroll och ge alltför överdrivna privilegier till användare.

I ett fall upptäckte Aqua en bank med ett öppet register med applikationer för nätbanker. "En angripare kunde ha dragit behållaren, sedan modifierat den och tryckt tillbaka den", säger Morag.

I ett annat fall upptäckte Aqua två felkonfigurerade containerregister som tillhör utvecklings- och ingenjörsteamet hos ett Fortune 100-teknikföretag. Aqua fann att registren innehåller så mycket känslig information och ger så mycket åtkomst och privilegier för att göra skada, att företaget beslutade att stoppa sin forskning och informera teknikföretaget om problemet. I det här fallet berodde säkerhetsproblemet på att en utvecklingsingenjör öppnade upp miljön medan han arbetade med ett icke godkänt sidoprojekt.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
• Minting the Future med Adryenn Ashley. Tillgång här.
• Källa: https://www.darkreading.com/application-security/millions-artifacts-misconfigured-enterprise-software-registries-pwning