Milyonlarca eser ve konteyner görüntüsü, binlerce yanlış yapılandırılmış Red Hat Quay kaydı, JFrog Artifactory veya Sonatype Nexus eser kaydı aracılığıyla halka açık internette açığa çıktı. Bunların çoğu, gizli ve hassas özel kodlar taşıyordu ve bu da bu şirketleri büyük veri sızıntısı ve siber saldırı riskine maruz bırakıyordu.
Aqua Nautilus araştırma ekibinin yeni bir raporu, 250 milyon eser ve 65.600 konteyner görüntüsünün ifşa edildiğini ve beş Fortune 500 şirketinin yanı sıra “binlerce diğer şirketin” risk altında olduğunu ortaya çıkardı.
Araştırmacılar, risk altındaki firmalar arasında IBM, Alibaba, Siemens ve Cisco’nun olduğunu söyledi.
Şaşırtıcı ve son derece ilgili
Yazılım tedarik zincirinde “önemli unsurlar” olan kayıt defterleri ve yapı yönetim sistemleri, siber suçlular için başlıca hedeflerdir. Aqua Security, birçok kuruluşun bu kayıt defterlerine sızan hassas bilgi ve sırları bilmediğini veya kontrol edemediğini iddia ediyor ve bilgisayar korsanları erişim kazanırsa, hedef firmalar için büyük sorun yaratabilir. Araştırmacılara göre, bu son derece kritik ortamları gerektiği gibi güvence altına almayan kuruluşlar var.
Aqua Nautilus’un baş tehdit araştırmacısı Assaf Morag, “Bulgular hem şaşırtıcı hem de oldukça endişe vericiydi” yorumunu yaptı.
Araştırmacılar, 1.400 farklı ana bilgisayarda ve uç noktaların özel hassas adreslerinde sırlar, kimlik bilgileri veya belirteçler gibi hassas anahtarlar buldu. (yeni sekmede açılır)156 ana bilgisayarda Redis, MongoDB, PostgreSQL veya MySQL gibi. Ayrıca, kritik yanlış yapılandırmaya sahip 57 kayıt defteri buldular ve bunlardan 15’i varsayılan parola ile yönetici erişimine izin verdi. 2.100’den fazla eser kaydının yükleme izinleri vardı.
Nautilus, tesislerini ve orada bulunan hassas verileri korumak için işletmelere herhangi bir kayıt defterinin veya yapı yönetim sisteminin internete açık olup olmadığını kontrol etmelerini ve tasarım gereği internete bağlı olanların kritik derecede savunmasız olup olmadığını kontrol etmelerini önerir. İşletmeler, anonim kullanıcının devre dışı bırakıldığını da doğrulamalıdır.