Millioner af artefakter, forkert konfigurerede virksomhedssoftwareregistre er modne til Pwning

Mange organisationer, herunder nogle af verdens største virksomheder, har øget risiko for kompromittering og datatyveri fra forkert konfigurerede og dårligt sikrede softwareregistre og artefaktlagre, har en ny undersøgelse vist.

Undersøgelser, som leverandøren af ​​cloud-sikkerhed Aqua Security for nylig udførte, afslørede omkring 250 millioner softwareartefakter og mere end 65,000 containerbilleder, der ligger eksponeret og internettilgængelige i tusindvis af registre og lagre. Omkring 1,400 værter tillod adgang til hemmeligheder, nøgler, adgangskoder og andre følsomme data, som en angriber kunne bruge til at igangsætte et forsyningskædeangreb eller til at forgifte et virksomhedssoftwareudviklingsmiljø.

Bred registreringseksponering

Aqua opdagede 57 registre med kritiske fejlkonfigurationer, herunder 15, der gjorde det muligt for en angriber at opnå administratorrettigheder med blot standardadgangskoden; 2,100 artefaktregistre tilbød uploadtilladelser, hvilket potentielt gav anonyme brugere en måde at uploade ondsindet kode til registreringsdatabasen.

I alt fandt Aqua næsten 12,800 containerbilledregistre, der var tilgængelige over internettet, hvoraf 2,839 tillod anonym brugeradgang. På 1,400 værter, Vandforskere fandt mindst ét ​​følsomt dataelement såsom nøgler, tokens og legitimationsoplysninger; på 156 værter fandt virksomheden private adresser på endepunkter som MongoDB, Redis og PostgreSQL.

Blandt de tusindvis af berørte organisationer var flere Fortune 500-virksomheder. En af dem var IBM, som havde afsløret et internt containerregister for internettet og sat følsomme data i fare for adgang. Virksomheden tog fat på problemet, efter at Aquas forskere informerede det om deres opdagelse. Andre bemærkelsesværdige organisationer, der potentielt havde udsat deres data for lignende risiko, omfattede Siemens, Cisco og Alibaba. Derudover fandt Aqua softwarehemmeligheder i registre tilhørende mindst to cybersikkerhedsfirmaer udsat for internettet. Aquas data er baseret på en analyse af containerbilleder, Red Hat Quay containerregistre, JFrog Artifactory og Sonatype Nexus artefaktregistre.

"Det er afgørende, at organisationer af alle størrelser rundt om i verden bruger et øjeblik på at verificere, at deres registre - uanset om de er offentlige eller private - er sikre," rådgiver Assaf Morag, ledende trusselsefterretnings- og dataanalytiker hos Aqua Security. Organisationer, der har kode i offentlige registre eller har forbundet deres registre til internettet og tillader anonym adgang, bør sikre, at deres kode og registre ikke indeholder hemmeligheder, intellektuel ejendom eller følsomme oplysninger, siger han.

"Værterne tilhørte tusindvis af organisationer rundt om i verden - alt efter branche, størrelse og geografi," bemærker Morag. "Det betyder, at fordelene for en angriber også kan variere."

Risikofyldte registre og depoter

Aquas forskning er den seneste til at fremhæve risiciene for virksomheder fra data i softwareregistre, repositories og artefaktstyringssystemer. Udviklingsteams bruger softwareregistre til at gemme, administrere og distribuere software, biblioteker og værktøjer og bruge depoter til central lagring og vedligeholdelse af specifikke softwarepakker inde fra registreringsdatabasen. Funktionen af ​​artefaktlagre er at hjælpe organisationer med at gemme og administrere artefakter af et softwareprojekt såsom kildekode, binære filer, dokumentation og bygge artefakter. Artefaktstyringssystemer kan også inkludere Docker-billeder og pakker fra offentlige depoter som Maven, NPM og NuGet.

Ofte forbinder organisationer, der bruger åben kildekode i deres projekter - en næsten allestedsnærværende praksis på dette tidspunkt - deres interne registre og artefaktstyringssystemer til internettet og tillader anonym adgang til visse dele af registreringsdatabasen. For eksempel kunne et softwareudviklingsteam, der bruger JFrog Artifactory som et internt lager, konfigurere ekstern adgang, så kunder og partnere kan dele dets artefakter.

Trussel skuespillere søger at kompromittere virksomhedssoftwareudvikling miljøer er i stigende grad begyndt at målrette softwareregistre og -depoter i de senere år. Nogle af angrebene har involveret forsøg fra trusselsaktører på indføre ondsindet kode ind i udvikling og bygge miljøer direkte eller via forgiftede pakker plantet på NPM, PyPI og andre udbredte offentlige depoter. I andre tilfælde har trusselsaktører målrettet disse værktøjer for at få adgang til de følsomme oplysninger, såsom legitimationsoplysninger, adgangskoder og API'er, der er gemt i dem.

Aquas forskning viste, at organisationer i mange tilfælde utilsigtet gør det lettere for angribere at udføre disse angreb ved fejlagtigt at forbinde registre, der indeholder følsomme oplysninger til internettet, udstationere hemmeligheder i offentlige arkiver, bruge standardadgangskoder til adgangskontrol og give alt for overdreven privilegier til brugerne.

I et tilfælde afslørede Aqua en bank med et åbent register med netbankapplikationer. "En angriber kunne have trukket containeren, derefter modificeret den og skubbet den tilbage," siger Morag.

I et andet tilfælde opdagede Aqua to fejlkonfigurerede containerregistre, der tilhører udviklings- og ingeniørteamet i en Fortune 100-teknologivirksomhed. Aqua fandt, at registrene indeholdt så mange følsomme oplysninger og gav så megen adgang og privilegier til at gøre skade, at virksomheden besluttede at standse sin forskning og informere teknologivirksomheden om problemet. I dette tilfælde skyldtes sikkerhedsproblemet, at en udviklingsingeniør åbnede miljøet, mens han arbejdede på et ikke-godkendt sideprojekt.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://www.darkreading.com/application-security/millions-artifacts-misconfigured-enterprise-software-registries-pwning