0
0
Muitas organizações, incluindo algumas das maiores empresas do mundo, estão em maior risco de comprometimento e roubo de dados de registros de software e repositórios de artefatos mal configurados e mal protegidos, mostrou um novo estudo.
Uma pesquisa que o fornecedor de segurança em nuvem Aqua Security realizou recentemente descobriu cerca de 250 milhões de artefatos de software e mais de 65.000 imagens de contêineres expostas e acessíveis pela Internet em milhares de registros e repositórios. Cerca de 1.400 hosts permitiam acesso a segredos, chaves, senhas e outros dados confidenciais que um invasor poderia usar para montar um ataque à cadeia de suprimentos ou para envenenar um ambiente de desenvolvimento de software corporativo.
Ampla exposição do Registro
O Aqua descobriu 57 registros com erros críticos de configuração, incluindo 15 que permitiam que um invasor obtivesse privilégios de administrador apenas com a senha padrão; 2.100 registros de artefatos ofereciam permissões de upload, o que potencialmente dava aos usuários anônimos uma maneira de carregar código malicioso no registro.
Ao todo, a Aqua encontrou quase 12.800 registros de imagens de contêineres que eram acessíveis pela Internet, dos quais 2.839 permitiam o acesso de usuários anônimos. Em 1.400 hosts, os pesquisadores do Aqua encontraram pelo menos um elemento de dados confidenciais, como chaves, tokens e credenciais; em 156 hosts, a empresa encontrou endereços privados de endpoints, como MongoDB, Refis e PostgreSQL.
Entre as milhares de organizações afetadas estavam várias empresas da Fortune 500. Uma delas foi a IBM, que expôs um registro interno de contêineres à Internet e colocou dados confidenciais em risco de acesso. A empresa abordou a questão depois que os pesquisadores da Aqua a informaram de sua descoberta. Outras organizações notáveis que potencialmente colocaram seus dados em risco semelhante incluíram Siemens, Cisco e Alibaba. Além disso, a Aqua encontrou segredos de software em registros pertencentes a pelo menos duas empresas de segurança cibernética expostas à Internet. Os dados do Aqua são baseados em uma análise de imagens de contêineres, registros de contêineres Red Hat Quay, JFrog Artifactory e registros de artefatos Sonatype Nexus.
“É fundamental que organizações de todos os tamanhos em todo o mundo dediquem um momento para verificar se seus registros – públicos ou privados – são seguros”, aconselha Assaf Morag, analista líder de inteligência de ameaças e dados da Aqua Security. As organizações que têm código em registros públicos ou conectaram seus registros à Internet e permitem acesso anônimo devem garantir que seu código e registros não contenham segredos, propriedade intelectual ou informações confidenciais, diz ele.
“Os anfitriões pertenciam a milhares de organizações em todo o mundo – variando por setor, tamanho e geografia”, observa Morag. “Isso significa que os benefícios para um invasor também podem variar.”
Registros e repositórios arriscados
A pesquisa da Aqua é a mais recente a destacar os riscos para as empresas de dados em registros de software, repositórios e sistemas de gerenciamento de artefatos. As equipes de desenvolvimento usam registros de software para armazenar, gerenciar e distribuir software, bibliotecas e ferramentas e usam repositórios para armazenar e manter centralmente pacotes de software específicos de dentro do Registro. A função dos repositórios de artefatos é ajudar as organizações a armazenar e gerenciar os artefatos de um projeto de software, como código-fonte, arquivos binários, documentação e artefatos de compilação. Os sistemas de gerenciamento de artefatos também podem incluir imagens e pacotes do Docker de repositórios públicos, como Maven, NPM e NuGet.
Muitas vezes, as organizações que usam código-fonte aberto em seus projetos – uma prática quase onipresente neste momento – conectam seus registros internos e sistemas de gerenciamento de artefatos à Internet e permitem o acesso anônimo a certas partes do registro. Por exemplo, uma equipe de desenvolvimento de software usando o JFrog Artifactory como um repositório interno poderia configurar o acesso externo para que clientes e parceiros possam compartilhar seus artefatos.
Os agentes de ameaças que buscam comprometer os ambientes de desenvolvimento de software corporativo começaram a visar cada vez mais registros e repositórios de software nos últimos anos. Alguns dos ataques envolveram tentativas de agentes de ameaças de introduzir código malicioso em ambientes de desenvolvimento e construção diretamente ou por meio de pacotes envenenados plantados no NPM, PyPI e outros repositórios públicos amplamente utilizados. Em outros casos, os agentes de ameaças direcionaram essas ferramentas para obter acesso às informações confidenciais, como credenciais, senhas e APIs armazenadas nelas.
A pesquisa da Aqua mostrou que, em muitos casos, as organizações estão inadvertidamente tornando mais fácil para os invasores realizarem esses ataques, conectando erroneamente registros contendo informações confidenciais à Internet, postando segredos em repositórios públicos, usando senhas padrão para controle de acesso e concedendo privilégios excessivamente excessivos aos usuários.
Em um exemplo, a Aqua descobriu um banco com um registro aberto com aplicativos bancários on-line. “Um invasor poderia ter puxado o recipiente, depois modificado e empurrado de volta”, diz Morag.
Em outro caso, a Aqua descobriu dois registros de contêineres mal configurados pertencentes à equipe de desenvolvimento e engenharia de uma empresa de tecnologia da Fortune 100. A Aqua descobriu que os registros contêm tanta informação sensível e oferecem tanto acesso e privilégios para causar danos, que a empresa decidiu interromper sua pesquisa e informar a empresa de tecnologia sobre o problema. Nesse caso, o problema de segurança resultou de um engenheiro de desenvolvimento abrindo o ambiente enquanto trabalhava em um projeto paralelo não aprovado.
FONTE: DARK READING