一项新的研究表明,许多组织,包括一些世界上最大的公司,由于配置错误和安全性差的软件注册表和工件存储库而面临更高的危害和数据盗窃风险。
云安全供应商 Aqua Security 最近进行的研究发现,在数以千计的注册表和存储库中,约有 2.5 亿个软件工件和超过 65000 个暴露在外并可通过互联网访问的容器映像。
大约 1400 台主机允许访问秘密、密钥、密码和其他敏感数据,攻击者可以利用这些数据发起供应链攻击,或毒害企业软件开发环境。
广泛的注册表曝光
Aqua 发现了 57 个存在严重错误配置的注册表,其中 15 个使攻击者仅使用默认密码即可获得管理员权限;2100 个工件注册表提供了上传权限,这可能为匿名用户提供了一种将恶意代码上传到注册表的方法。
Aqua 总共发现了近 12800 个可通过 Internet 访问的容器镜像注册表,其中 2839 个允许匿名用户访问。
在 1400 台主机上,Aqua 研究人员发现了至少一个敏感数据元素,例如密钥、令牌和凭证;在 156 台主机上,该公司发现了 MongoDB、Redis 和 PostgreSQL 等端点的私有地址。
在数千家受影响的组织中,有几家财富 500 强公司。其中之一是 IBM,它已将内部容器注册表暴露在互联网上,并使敏感数据面临访问风险。
在 Aqua 的研究人员将他们的发现告知公司后,该公司解决了这个问题。其他可能将其数据置于类似风险中的著名组织包括西门子、思科和阿里巴巴。
此外,Aqua 在属于至少两家暴露于互联网的网络安全公司的注册表中发现了软件机密。Aqua 的数据基于对容器镜像、Red Hat Quay 容器注册表、JFrog Artifactory 和 Sonatype Nexus 工件注册表的分析。
Aqua 安全首席威胁情报和数据分析师建议:至关重要的是,世界各地各种规模的组织都需要花点时间来验证他们的注册表,无论是公共的还是私有的,是否安全。
在公共注册表中拥有代码或将其注册表连接到 Internet 并允许匿名访问的组织应确保其代码和注册表不包含秘密、知识产权或敏感信息。
这些主机来自世界各地的数千个组织,按行业、规模和地理位置划分,这意味着攻击者的利益也可能有所不同。
有风险的注册表和存储库
Aqua 的最新研究强调了软件注册表、存储库和工件管理系统中的数据给企业带来的风险。
开发团队使用软件注册表来存储、管理和分发软件、库和工具,并使用存储库从注册表中集中存储和维护特定软件包。
工件存储库的功能是帮助组织存储和管理软件项目的工件,例如源代码、二进制文件、文档和构建工件。
工件管理系统还可以包括来自公共存储库(例如 Maven、NPM 和 NuGet)的 Docker 映像和包。
通常,在其项目中使用开源代码的组织,在这一点上几乎是普遍存在的做法,将他们的内部注册表和工件管理系统连接到互联网,并允许匿名访问注册表的某些部分。
例如,使用 JFrog Artifactory 作为内部存储库的软件开发团队可以配置外部访问,以便客户和合作伙伴可以共享其工件。
近年来,寻求破坏企业软件开发环境的威胁行为者越来越多地开始瞄准软件注册表和存储库。
一些攻击涉及威胁行为者试图将恶意代码直接或通过植入 NPM、PyPI 和其他广泛使用的公共存储库的中毒包引入开发和构建环境。
在其他情况下,威胁行为者将这些工具作为目标,以获取对其中存储的凭据、密码和 API 等敏感信息的访问权限。
Aqua 的研究表明,在许多情况下,组织通过错误地将包含敏感信息的注册表连接到 Internet、在公共存储库中发布机密、使用默认密码进行访问控制以及授予过多权限,无意中让攻击者更容易实施这些攻击用户的特权。
在一个例子中,Aqua 发现了一家银行,该银行的开放注册表以在线银行应用程序为特色。攻击者可能会拉出容器,然后对其进行修改并将其推回。
在另一个例子中,Aqua 发现了属于一家财富 100 强科技公司的开发和工程团队的两个配置错误的容器注册表。
Aqua 发现注册表中包含如此多的敏感信息,并提供如此多的访问权限和特权来造成破坏,以至于该公司决定停止研究并将该问题告知技术公司。
在这种情况下,安全问题是由于一名开发工程师在从事未经批准的副项目时开放环境造成的。
