Новости Крупнейшие компании мира в опасности, их данные могут быть украдены через открытые источники

NewsMaker

I'm just a script
Премиум
14,097
20
8 Ноя 2022
Исследователи обнаружили огромное количество артефактов и образов контейнеров, размещенных в различных реестрах и репозиториях без надлежащей защиты.


6litsh8jcki5p0bxjrlzito6nigbglzm.jpg


Команды разработчиков часто используют реестры программного обеспечения для хранения, управления и распространения программного обеспечения, библиотек и инструментов, а также используют репозитории для централизованного хранения и сопровождения определенных пакетов программного обеспечения из реестра.

Функция репозиториев Для просмотра ссылки Войди или Зарегистрируйся заключается в том, чтобы помочь организациям хранить артефакты программного проекта, такие как исходный код, двоичные файлы, документация и артефакты сборки, и с удобством управлять ими. Системы управления артефактами могут также включать образы Docker и пакеты из общедоступных репозиториев, таких как Maven , NPM и NuGet .

Часто организации, использующие в своих проектах открытый исходный код, подключают свои внутренние реестры и системы управления артефактами к Интернету и разрешают анонимный доступ к определенным частям реестра. Обычно это делается для банального удобства. Однако злоумышленники, стремящиеся скомпрометировать среды разработки корпоративного программного обеспечения, в последние годы всё чаще стали нацеливаться на реестры программного обеспечения и хранилища.

Некоторые атаки были связаны с попытками злоумышленников внедрить вредоносный код в среды разработки и сборки напрямую или через зараженные пакеты, размещенные в NPM, PyPI и других широко используемых общедоступных репозиториях. В иных случаях злоумышленники использовали эти инструменты для получения доступа к конфиденциальной информации, такой как учетные данные, пароли и API , хранящиеся в них.

Согласно Для просмотра ссылки Войди или Зарегистрируйся специалистов Aqua Security , многие организации, включая некоторые крупнейшие компании мира, подвергаются повышенному риску компрометации и кражи данных из неправильно сконфигурированных и плохо защищенных реестров программного обеспечения и репозиториев артефактов.

Исследователи выявили около 250 миллионов программных артефактов и более 65 тысяч образов контейнеров, находящихся в открытом доступе в Интернете. Среди около 13 тысяч реестров образов контейнеров, которые были доступны через Интернет, почти 3 тысячи разрешали доступ анонимному пользователю. Ещё на 1400 хостах специалисты Aqua обнаружили по крайней мере один конфиденциальный элемент данных, такой как ключи, токены и учётные данные. В дополнение, на 156 хостах компания обнаружила частные адреса конечных точек, таких как MongoDB, Redis и PostgreSQL.

«Крайне важно, чтобы организации любых размеров по всему миру уделяли время проверке безопасности своих реестров — как государственных, так и частных», — советует Ассаф Мораг, ведущий специалист по анализу угроз и данных в Aqua Security.

«Организации, у которых есть код в публичных реестрах или которые подключили свои реестры к Интернету и разрешают анонимный доступ, должны убедиться, что их код и реестры не содержат Для просмотра ссылки Войди или Зарегистрируйся , интеллектуальной собственности или конфиденциальной информации», — добавил Мораг.

Исследование Aqua наглядно показало, что во многих случаях организации непреднамеренно облегчают злоумышленникам проведение подобных атак, ошибочно подключая реестры, содержащие конфиденциальную информацию, к Интернету, и размещая секреты в общедоступных хранилищах, используя стандартные пароли для контроля доступа.

Чтобы избежать подобных проблем, стоит лишний раз перестраховаться и запретить весь лишний и ненужный для процесса разработки доступ. А также внедрить соответствующие системы защиты, дабы минимизировать любые возможные риски.
 
Источник новости
www.securitylab.ru

Похожие темы