Muchas organizaciones, incluidas algunas de las empresas más grandes del mundo, corren un mayor riesgo de compromiso y robo de datos de registros de software y repositorios de artefactos mal configurados y mal protegidos, según ha demostrado un nuevo estudio.
La investigación que realizó recientemente el proveedor de seguridad en la nube Aqua Security descubrió unos 250 millones de artefactos de software y más de 65,000 1,400 imágenes de contenedores que se encuentran expuestas y accesibles por Internet en miles de registros y repositorios. Unos XNUMX hosts permitieron el acceso a secretos, claves, contraseñas y otros datos confidenciales que un atacante podría usar para montar un ataque a la cadena de suministro o para envenenar un entorno de desarrollo de software empresarial.
Amplia exposición del registro
Aqua descubrió 57 registros con errores de configuración críticos, incluidos 15 que permitieron a un atacante obtener privilegios de administrador con solo la contraseña predeterminada; 2,100 registros de artefactos ofrecieron permisos de carga, lo que potencialmente les dio a los usuarios anónimos una forma de cargar código malicioso en el registro.
En total, Aqua encontró cerca de 12,800 2,839 registros de imágenes de contenedores a los que se podía acceder a través de Internet, de los cuales 1,400 permitían el acceso de usuarios anónimos. En XNUMX hosts, Los investigadores de Aqua encontraron al menos un elemento de datos confidenciales, como claves, tokens y credenciales; en 156 hosts, la empresa encontró direcciones privadas de puntos finales como MongoDB, Redis y PostgreSQL.
Entre las miles de organizaciones afectadas se encontraban varias empresas Fortune 500. Uno de ellos fue IBM, que había expuesto un registro de contenedor interno a Internet y había puesto en riesgo el acceso a datos confidenciales. La compañía abordó el problema después de que los investigadores de Aqua le informaran sobre su descubrimiento. Otras organizaciones notables que potencialmente habían puesto sus datos en un riesgo similar incluyen a Siemens, Cisco y Alibaba. Además, Aqua encontró secretos de software en registros pertenecientes a al menos dos empresas de ciberseguridad expuestas a Internet. Los datos de Aqua se basan en un análisis de imágenes de contenedores, registros de contenedores de Red Hat Quay, JFrog Artifactory y registros de artefactos de Sonatype Nexus.
“Es fundamental que las organizaciones de todos los tamaños en todo el mundo se tomen un momento para verificar que sus registros, ya sean públicos o privados, estén seguros”, aconseja Assaf Morag, analista líder de datos e inteligencia de amenazas en Aqua Security. Las organizaciones que tienen código en registros públicos o han conectado sus registros a Internet y permiten el acceso anónimo deben asegurarse de que su código y sus registros no contengan secretos, propiedad intelectual o información confidencial, dice.
“Los anfitriones pertenecían a miles de organizaciones de todo el mundo, según la industria, el tamaño y la geografía”, señala Morag. “Eso significa que los beneficios para un atacante también podrían variar”.
Registros y repositorios riesgosos
La investigación de Aqua es la última en destacar los riesgos para las empresas de los datos en los registros de software, repositorios y sistemas de gestión de artefactos. Los equipos de desarrollo usan registros de software para almacenar, administrar y distribuir software, bibliotecas y herramientas, y usan repositorios para almacenar y mantener centralmente paquetes de software específicos desde el registro. La función de los repositorios de artefactos es ayudar a las organizaciones a almacenar y administrar los artefactos de un proyecto de software, como el código fuente, los archivos binarios, la documentación y los artefactos de compilación. Los sistemas de administración de artefactos también pueden incluir imágenes y paquetes de Docker de repositorios públicos como Maven, NPM y NuGet.
A menudo, las organizaciones que utilizan código fuente abierto en sus proyectos (una práctica casi omnipresente en este punto) conectan sus registros internos y sistemas de gestión de artefactos a Internet y permiten el acceso anónimo a ciertas partes del registro. Por ejemplo, un equipo de desarrollo de software que utilice JFrog Artifactory como repositorio interno podría configurar el acceso externo para que los clientes y socios puedan compartir sus artefactos.
Actores de amenazas que buscan comprometer el desarrollo de software empresarial Los entornos han comenzado a apuntar cada vez más a los registros y repositorios de software en los últimos años. Algunos de los ataques han implicado intentos por parte de actores de amenazas de introducir código malicioso en entornos de desarrollo y construcción directamente o a través de paquetes envenenados plantado en NPM, PyPI y otros repositorios públicos ampliamente utilizados. En otros casos, los actores de amenazas se han dirigido a estas herramientas para obtener acceso a la información confidencial, como credenciales, contraseñas y API almacenadas en ellas.
La investigación de Aqua mostró que, en muchos casos, las organizaciones facilitan inadvertidamente que los atacantes lleven a cabo estos ataques conectando por error registros que contienen información confidencial a Internet, publicando secretos en repositorios públicos, usando contraseñas predeterminadas para el control de acceso y otorgando excesivamente privilegios a los usuarios.
En un caso, Aqua descubrió un banco con un registro abierto que presentaba aplicaciones bancarias en línea. “Un atacante podría haber sacado el contenedor, luego modificarlo y empujarlo hacia atrás”, dice Morag.
En otro caso, Aqua descubrió dos registros de contenedores mal configurados que pertenecían al equipo de desarrollo e ingeniería de una empresa de tecnología Fortune 100. Aqua descubrió que los registros contenían tanta información confidencial y brindaban tanto acceso y privilegios para hacer daño, que la empresa decidió detener su investigación e informar a la empresa de tecnología sobre el problema. En este caso, el error de seguridad se debió a que un ingeniero de desarrollo abrió el entorno mientras trabajaba en un proyecto paralelo no aprobado.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Acuñando el futuro con Adryenn Ashley. Accede Aquí.
- Fuente: https://www.darkreading.com/application-security/millions-artifacts-misconfigured-enterprise-software-registries-pwning
