Yeni bir araştırmaya göre, dünyanın en büyük şirketlerinden bazıları da dahil olmak üzere birçok kuruluş, yanlış yapılandırılmış ve zayıf güvenlikli yazılım kayıt defterleri ve yapı depolarından kaynaklanan veri hırsızlığı ve taviz riskiyle karşı karşıya.
Bulut güvenliği satıcısı Aqua Security’nin kısa süre önce yürüttüğü araştırma, binlerce kayıt defteri ve depoda açıkta ve İnternet erişimine açık olarak duran yaklaşık 250 milyon yazılım eserini ve 65.000’den fazla kapsayıcı görüntüsünü ortaya çıkardı. Yaklaşık 1.400 ana bilgisayar, bir saldırganın tedarik zinciri saldırısı düzenlemek veya bir kurumsal yazılım geliştirme ortamını zehirlemek için kullanabileceği sırlara, anahtarlara, parolalara ve diğer hassas verilere erişime izin verdi.
Geniş Kayıt Pozlaması
Aqua, bir saldırganın yalnızca varsayılan parolayla yönetici ayrıcalıkları kazanmasına olanak tanıyan 15 kayıt dahil olmak üzere kritik yanlış yapılandırmalara sahip 57 kayıt defteri keşfetti; 2.100 yapı kaydı, potansiyel olarak anonim kullanıcılara kayıt defterine kötü amaçlı kod yükleme yolu veren yükleme izinleri sunuyordu.
Toplamda Aqua, İnternet üzerinden erişilebilen yaklaşık 12.800 konteyner görüntü kaydı buldu ve bunların 2.839’u anonim kullanıcı erişimine izin verdi. 1.400 ana bilgisayarda, Su araştırmacıları bulundu anahtarlar, belirteçler ve kimlik bilgileri gibi en az bir hassas veri öğesi; 156 ana bilgisayarda şirket, MongoDB, Redis ve PostgreSQL gibi uç noktaların özel adreslerini buldu.
Etkilenen binlerce kuruluş arasında birkaç Fortune 500 şirketi de vardı. Bunlardan biri, dahili bir kapsayıcı kaydını İnternet’e açan ve hassas verileri erişim riski altına sokan IBM’di. Aqua’nın araştırmacıları keşiflerini bildirdikten sonra şirket sorunu ele aldı. Verilerini potansiyel olarak benzer riske atan diğer önemli kuruluşlar arasında Siemens, Cisco ve Alibaba vardı. Ayrıca Aqua, internete maruz kalan en az iki siber güvenlik firmasına ait kayıtlarda yazılım sırları buldu. Aqua’nın verileri, konteyner görüntüleri, Red Hat Quay konteyner kayıtları, JFrog Artifactory ve Sonatype Nexus yapı kayıtlarının analizine dayanmaktadır.
Aqua Security’de lider tehdit istihbaratı ve veri analisti Assaf Morag, “Dünyanın dört bir yanındaki her büyüklükteki kuruluşun, kayıtlarının güvenli olduğunu doğrulamak için bir dakika ayırması çok önemlidir.” Kamu kayıtlarında kod bulunan veya kayıt defterlerini internete bağlayıp anonim erişime izin veren kuruluşların, kodlarının ve kayıt defterlerinin sır, fikri mülkiyet veya hassas bilgiler içermediğinden emin olmaları gerektiğini söylüyor.
Morag, “Ev sahipleri, dünya genelinde sektöre, boyuta ve coğrafyaya göre değişen binlerce kuruluşa aitti” diyor. “Bu, bir saldırgan için faydaların da değişebileceği anlamına geliyor.”
Riskli Kayıtlar ve Depolar
Aqua’nın araştırması, yazılım kayıt defterleri, havuzlar ve yapı yönetim sistemlerindeki verilerden işletmelere yönelik riskleri vurgulayan en son araştırmadır. Geliştirme ekipleri, yazılımları, kitaplıkları ve araçları depolamak, yönetmek ve dağıtmak için yazılım kayıt defterlerini kullanır ve kayıt defterinden belirli yazılım paketlerini merkezi olarak depolamak ve sürdürmek için havuzları kullanır. Yapıt havuzlarının işlevi, kuruluşların bir yazılım projesinin kaynak kodu, ikili dosyalar, belgeler ve yapı yapıtları gibi yapıtlarını depolamasına ve yönetmesine yardımcı olmaktır. Artifact yönetim sistemleri, Maven, NPM ve NuGet gibi genel havuzlardan Docker görüntülerini ve paketlerini de içerebilir.
Çoğu zaman, projelerinde açık kaynak kodu kullanan kuruluşlar – bu noktada neredeyse her yerde bulunan bir uygulama – dahili kayıt defterlerini ve yapı yönetim sistemlerini İnternet’e bağlar ve kayıt defterinin belirli bölümlerine anonim erişime izin verir. Örneğin, JFrog Artifactory’yi dahili bir havuz olarak kullanan bir yazılım geliştirme ekibi, müşterilerin ve iş ortaklarının eserlerini paylaşabilmesi için harici erişimi yapılandırabilir.
Kurumsal yazılım geliştirme ortamlarını tehlikeye atmak isteyen tehdit aktörleri, son yıllarda yazılım kayıt defterlerini ve havuzlarını giderek daha fazla hedef almaya başladı. Saldırılardan bazıları, tehdit aktörlerinin, doğrudan veya NPM, PyPI ve diğer yaygın olarak kullanılan genel havuzlara yerleştirilmiş zehirli paketler aracılığıyla kötü amaçlı kodu geliştirme ve inşa ortamlarına sokma girişimlerini içeriyordu. Diğer durumlarda, tehdit aktörleri kimlik bilgileri, parolalar ve bunlarda depolanan API’ler gibi hassas bilgilere erişim elde etmek için bu araçları hedef almıştır.
Aqua’nın araştırması, çoğu durumda kuruluşların, hassas bilgiler içeren kayıt defterlerini yanlışlıkla İnternet’e bağlayarak, sırları kamuya açık depolarda yayınlayarak, erişim kontrolü için varsayılan parolalar kullanarak ve gereğinden fazla izin vererek saldırganların bu saldırıları gerçekleştirmesini istemeden kolaylaştırdığını gösterdi. kullanıcılara ayrıcalıklar
Bir örnekte Aqua, çevrimiçi bankacılık uygulamalarını içeren açık bir sicile sahip bir bankayı ortaya çıkardı. Morag, “Bir saldırgan kabı çekip sonra değiştirebilir ve geri itebilirdi” diyor.
Başka bir örnekte Aqua, bir Fortune 100 teknoloji şirketinin geliştirme ve mühendislik ekibine ait yanlış yapılandırılmış iki konteyner kaydını keşfetti. Aqua, kayıtların o kadar çok hassas bilgi içerdiğini ve zarar vermek için o kadar çok erişim ve ayrıcalık sağladığını fark etti ki, şirket araştırmasını durdurmaya ve konuyu teknoloji şirketine bildirmeye karar verdi. Bu durumda güvenlik sorunu, bir geliştirme mühendisinin onaylanmamış bir yan proje üzerinde çalışırken ortamı açmasından kaynaklanmıştır.
