Неправильно настроенные реестры подвергают риску сотни ведущих компаний
вычисления techradar.com Новости

Неправильно настроенные реестры подвергают риску сотни ведущих компаний

25 апреля 2023 г.

Миллионы артефактов и образов контейнеров были обнаружены в общедоступном Интернете через тысячи неправильно настроенных реестров артефактов Red Hat Quay, JFrog Artifactory или Sonatype Nexus. Многие из них содержали конфиденциальный и конфиденциальный проприетарный код, подвергая эти компании огромному риску утечки данных и кибератак.

Новый отчет исследовательской группы Aqua Nautilus обнаружил, что 250 миллионов артефактов и 65 600 образов контейнеров были раскрыты, в результате чего пять компаний из списка Fortune 500, а также «тысячи других» находятся в зоне риска.

По данным исследователей, среди компаний, подвергающихся риску, были IBM, Alibaba, Siemens и Cisco.

Удивительно и очень тревожно

Реестры и системы управления артефактами, являясь «ключевыми элементами» в цепочке поставок программного обеспечения, являются основными целями для киберпреступников. Aqua Security утверждает, что многие организации не знают или не могут контролировать конфиденциальную информацию и секреты, которые просачиваются в эти реестры, и если хакеры получат доступ, это может создать огромные проблемы для целевых фирм. По словам исследователей, есть организации, которые не обеспечили должным образом защиту этих критически важных сред.

«Результаты были одновременно неожиданными и весьма тревожными», — прокомментировал Ассаф Мораг, ведущий исследователь угроз в Aqua Nautilus.

Подробнее

> Эта опасная новая вредоносная программа хочет атаковать ваше облако системы

> Половина новых экземпляров Docker подвергается атаке менее чем за час

> Вот лучшие брандмауэры на сегодняшний день

Исследователи обнаружили конфиденциальные ключи, такие как секреты, учетные данные или токены, на 1400 различных хостах и ​​частные конфиденциальные адреса конечные точки, такие как Redis, MongoDB, PostgreSQL или MySQL, на 156 хостах. Кроме того, они обнаружили 57 реестров с критической неправильной конфигурацией, и 15 из них разрешили доступ администратора с паролем по умолчанию. Разрешения на загрузку имеют более 2100 реестров артефактов.

Чтобы защитить свои помещения и хранящиеся в них конфиденциальные данные, Nautilus рекомендует компаниям проверять, доступны ли какие-либо реестры или системы управления артефактами в Интернете, и проверять, подключенные к Интернету по дизайну, не являются критически уязвимыми. Компании также должны убедиться, что анонимный пользователь отключен.

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE