Исследовательская группа Aqua Security по безопасности облачных вычислений недавно обнаружила тысячи реестров и репозиториев артефактов, выставленных в Интернете, и выявила более 250 миллионов артефактов и более 65 000 образов контейнеров.
Реестры и репозитории принадлежали широкому кругу компаний, в том числе 10 членам списка Fortune 500 и двум ведущим поставщикам кибербезопасности.
«В некоторых из этих случаев анонимный доступ пользователя позволял потенциальному злоумышленнику получить конфиденциальную информацию, такую как секреты, ключи и пароли, что могло привести к серьезной атаке на цепочку поставок программного обеспечения и отравлению жизненного цикла разработки программного обеспечения (SDLC), «, — отметили исследователи в своем блоге.
«Мы считаем, что реестры являются важной частью цепочки поставок программного обеспечения в облаке, и что организации не уделяют им должного внимания», — написали они. «Если злоумышленники получат доступ к реестрам, они могут распространить и потенциально использовать весь SDLC».
Читайте также: Руководство по безопасности цепочки поставок программного обеспечения для разработчиков
Конфиденциальная информация раскрыта
Хотя они ожидали найти некоторые реестры, доступные в Интернете, исследователи написали, что были удивлены тем, что «на 1400 различных хостах мы нашли по крайней мере один секретный ключ (например, ключи, секреты, учетные данные, токены и т. д.), а на 156 хостах мы обнаружили частные конфиденциальные адреса конечных точек (например, Redis, MongoDB, PostgreSQL, MySQL и т. д.)».
Они также обнаружили 57 реестров с критическими уязвимостями, такими как пароли администратора по умолчанию, и более 2100 реестров артефактов с разрешениями на загрузку, которые могут позволить злоумышленникам отравить реестр вредоносным кодом.
Штатный инженер-программист Aqua Security Мор Вайнбергер сообщил eSecurity Planet по электронной почте, что контейнеры и реестры артефактов играют решающую роль в разработке программного обеспечения, но ими нужно правильно управлять. «Независимо от того, являетесь ли вы поставщиком программного обеспечения или специалистом по сопровождению программного обеспечения с открытым исходным кодом, ваша цель — упростить процесс управления выпусками и сделать их легкодоступными», — сказал он. «Однако это никогда не должно происходить за счет безопасности».
«Анонимным Пользователям Нельзя Разрешать Загружать Файлы В Ваши Релизы»
«Вне зависимости от ситуации анонимным пользователям нельзя разрешать загружать файлы в ваши релизы (как мы видели более чем в одном случае)», — добавил Вайнбергер. «Более того, важно гарантировать, что никакая конфиденциальная информация, такая как секреты и персональные данные, не попадет в ваши доступные артефакты. В общем, как только ваши артефакты станут доступными для всех, уязвимости вашего программного обеспечения также будут раскрыты».
Ознакомьтесь с основными средствами отладки кода и средствами защиты кода.
Ответ исследователям безопасности
В одном случае, подробно описанном исследователями, они обнаружили два открытых реестра образов контейнеров, принадлежащих технологическому гиганту из списка Fortune 100. «Один из манифестов образа контейнера содержал команду для загрузки артефакта из реестра артефактов, которая включала активный ключ API для извлечения внутренних двоичных файлов в рамках создания образа», — написали они. «Мы обнаружили, что реестр артефактов содержит 2600 репозиториев с более чем 240 миллионами артефактов».
Они связались с компанией, и ее служба безопасности быстро отреагировала. «Позже мы узнали, что это был случай теневой ИТ, когда разработчик с побочным проектом открыл среду вопреки политике и правилам без надлежащего контроля», — написали они.
Ведущий аналитик по угрозам и данным Aqua Security Ассаф Мораг сообщил eSecurity Planet по электронной почте, что для компаний любого размера крайне важно иметь определенную точку контакта для исследователей безопасности и известную схему раскрытия информации о безопасности. «Для этого создайте специальную электронную почту безопасности и назначьте кого-нибудь для обработки входящих писем», — сказал он.
«Если у вас есть серьезная неправильная конфигурация или уязвимость, и кто-то пытается связаться с вами, чтобы сообщить об этом, не усложняйте им задачу, потому что в конечном итоге они сдадутся и остановятся», — добавил Мораг. «Тогда возникнет риск для ваших данных, интеллектуальной собственности и информации о клиентах, поскольку они могут оказаться в даркнете. Кто-то мог бы остановить это, но когда это имело значение, у двери не было ответа».
Ознакомьтесь с лучшими решениями по обеспечению безопасности контейнеров
Основные шаги, которые необходимо предпринять
Исследователи предлагают как можно скорее предпринять следующие шаги, чтобы снизить эти риски:
Безопасные репозитории с сетевыми элементами управления, такими как VPN или брандмауэр
Реализуйте строгие меры аутентификации и авторизации
Регулярно меняйте ключи, учетные данные и секреты
Внедрение контроля доступа с минимальными привилегиями и области видимости
Регулярно сканируйте конфиденциальные данные
По словам Мораг, по мере того, как все больше и больше организаций переходят в облако, мы, вероятно, продолжим наблюдать рост неправильных конфигураций. «Это чаще всего вызвано теневыми ИТ, ошибками, отсутствием знаний или опыта, а также отсутствием надлежащего контроля», — сказал он. «Мы очень надеемся, что это исследование и другие подобные исследования в области безопасности расскажут сообществу о рисках, связанных с этой технологией, и о необходимости принятия методов и инструментов безопасности для их снижения».
