Über 250 Millionen gefährdete Artefakte und Container-Images Aqua identifiziert anfällige Software-Supply-Chains

Cloud-Native- Spezialist Aqua Security hat kürzlich tausende Registries und Artefakt-Repositories identifiziert, die aufgrund von Fehlkonfigurationen zugänglich waren. Viele dieser Daten enthielten hochsensible und proprietäre Informationen sowie sogenannte „Secrets“.

Registries und Artefakt-Verwaltungssysteme sind wesentliche Bestandteile der Software-Supply-Chain und enthalten oft Secrets wie Authentifizierungsdaten und andere sensible Informationen. Können Angreifer auf diese Daten zugreifen, können sie die gesamte Toolchain des Software-Entwicklungslebenszyklus kompromittieren und die darin gespeicherten Artefakte ausnutzen.

Die IT-Sicherheitsforscher des Aqua-Security-Teams Nautilus deckten falsche Konfigurationen auf, die weltweit tausende Unternehmen gefährdeten, darunter fünf Fortune-500-Unternehmen und zwei große IT-Sicherheitsanbieter. Im Zuge der Untersuchung zeigten sich verschiedene Anfälligkeiten und Sicherheitslücken:

• Sensible Schlüssel (einschließlich Secrets, Anmeldeinformationen oder Tokens) auf 1.400 verschiedenen Hosts.

• Private Endpunkt-Adressen von Datenbanksystemen (wie Redis, MongoDB, PostgreSQL oder MySQL) auf 156 Hosts.

• 57 Registries mit kritischen Fehlkonfigurationen, von denen 15 den Administratorzugriff mit dem Standardpasswort erlaubten.

• Mehr als 2.100 Artefakt-Registries mit Upload-Berechtigungen, die Angreifern ermöglichen könnten, diese Registries mit bösartigem Code zu infizieren.

Aqua empfiehlt Sicherheitsteams betroffener Unternehmen, sofort Maßnahmen zu ergreifen, um die Sicherheit ihrer Systeme zu gewährleisten. Dazu gehört die Überprüfung von Registries und Artefakt-Verwaltungssystemen auf Internetverbindungen, die Verwendung sicherer Passwörter, das Deaktivieren des anonymen Benutzerzugriffs und das regelmäßige Scannen öffentlicher Artefakte auf vertrauliche Informationen.

Laut der Nautilus-Studie verfügen jedoch nur wenige Unternehmen über ein Programm zur verantwortungsvollen Offenlegung von Schwachstellen. Solche Programme seien aber wichtig, um Sicherheitslücken strukturiert melden und beheben zu können. Unternehmen mit solchen Programmen konnten Sicherheitslücken in weniger als einer Woche beheben, während dies bei Unternehmen ohne derartige Programme schwieriger und zeitaufwändiger war.

Assaf Morag, leitender Bedrohungsforscher bei Aqua Nautilus, betont die Bedeutung von Programmen zur verantwortungsvollen Offenlegung und Investitionen in die Erkennung und Eindämmung von Bedrohungen in der Software-Supply-Chain. Katie Norton, Senior Research Analyst bei IDC, ergänzt, dass die Ergebnisse von Aqua Nautilus den Handlungsbedarf aufzeigen, um das Bewusstsein für Best Practices bei Entwicklern und Anwendungssicherheitsteams zu schärfen.

(ID:49421193)