IT News פורטל המחשוב העסקי וההייטק של ישראל
5 חברות ברשימת Fortune 500 ואלפי ארגונים ברחבי העולם התגלו כחשופים למתקפות על שרשרת אספקת התוכנה
Aqua Nautilus, גוף חקר האבטחה של חברת אקווה סקיוריטי (Aqua Security), חלוצה באבטחה בענן, גילה 250 מיליון אובייקטים ו-65,600 תמונות קונטיינרים אשר דלפו באמצעות אלפי תמונות קונטיינרים בתצורה שגויה ומאגרים של אימג'ים לקונטיינרים (Registries), אשר רבים מהם הכילו קוד וסודות רגישים, מה שחשף אלפי חברות, ביניהן 5 חברות ברשימת ה-Fortune 500
מאגרי אחסון לקונטיינרים ומערכות ניהול תוצרי תוכנה (artifacts) הם כלים חיוניים בשרשרת אספקת התוכנה, מה שהופך אותם למטרות מרכזיות עבור גורמים התקפיים. ארגונים רבים פותחים את המערכות הללו לעולם החיצוני באופן מכוון, אך לעיתים הם לא מודעים או לא מסוגלים לשלוט במידע רגיש אשר מוכנס למערכות הללו על-ידי מפתחים שאינם מודעים לרמת הנגישות של המערכות. כאשר התוקפים מצליחים לקבל גישה, הם יכולים לנצל את כל ארגז כלי התכנות והניהול של מחזור פיתוח התוכנה (SDLC) והאובייקטים המאוחסנים במסגרתו.
החוקרים של אקווה גילו כי במקרים מסוימים ארגונים לא אבטחו כראוי את הסביבות הקריטיות הללו ובמקרים אחרים הייתה דליפת מידע למרחבי הקוד הפתוח, מה שהותיר את הסביבות הללו חשופות לאינטרנט ולתקיפה, מה שעלול להוביל למתקפות מזיקות וסיכון ממשי לקוד ולנתונים רגישים בארגון.
להלן ממצאי הדוח העיקריים:
- נמצאו מפתחות רגישים הכוללים סודות, מידע אישי או טוקנים על 1,400 שרתים שונים וכתובות פרטיות רגישות של נקודות קצה כמו Redis, MongoDB, PostgreSQL או MySQL על 156 שרתים.
- נמצאו 57 מאגרים של קונטיינרים (container registries) עם בעיות קריטיות בהגדרות ו-15 מהם אפשרו גישת אדמין באמצעות סיסמת ברירת המחדל.
- אותרו למעלה מ-2,100 מאגרי רכיבי תוכנה (artifacts) בעלי הרשאות העלאה, אשר עלולים לאפשר לתוקף להדביק את המאגר עם קוד זדוני. במקרים מסוימים, גישה של משתמש אנונימי אפשרה לתוקף פוטנציאלי לקבל מידע רגיש כמו סודות, מפתחות וסיסמאות, שניתן להשתמש בהם כדי להשיק מתקפה חמורה על שרשרת אספקת התוכנה או להדביק את תהליכי הפיתוח.
- החברות שהושפעו כללו ארגונים קטנים וגדולים כאחד – כולל 2 ספקיות אבטחת סייבר גדולות – בכל רחבי העולם.
מאגרי אימג'ים לקונטיינרים שנחשפו. קרדיט צילום: Aqua Nautilus
"התחלנו את המחקר שלנו במטרה להבין טוב יותר את התצורות השגויות במאגרים המשמשים לבניית קונטיינרים, את החברות העומדות מאחוריהם וכיצד תוקף מיומן יכול לנצל לטובתו את המאגרים החשופים ובעלי התצורות השגויות", אמר אסף מורג, חוקר איומים בכיר ב-Aqua Nautilus. "הממצאים היו מפתיעים ומדאיגים מאוד. בהינתן שיעור הסיכונים שחשפנו, החלטנו להתריע על הממצאים בפני החברות שהושפעו".
כמו כן, חוקרי Aqua Nautilus חשפו כי לארגונים רבים לא הייתה תוכנית דיווח אחראי (responsible disclosure program) לדיווח על ליקויי אבטחה שהתגלו. מדובר בכלי הכרחי המאפשר לחוקרי אבטחה אתיים לדווח על נקודות תורפה פוטנציאליות בצורה מסודרת, כך שהארגון יהיה מסוגל לפתור את הבעיה במהירות לפני שייפגע על ידי גורמים זדוניים. חוקרי Aqua Nautilus מצאו כי ארגונים בעלי תוכניות דיווח אחראי היו מסוגלים לתקן את התצורה השגויה תוך פחות משבוע. התהליך היה קשה יותר וגזל יותר זמן עבור אלו שלא הייתה ברשותם תוכנית כזאת.
על רקע ממצאים אלו, חוקרי Aqua Nautilus ממליצים לצוותי אבטחה לנקוט מידית בפעולות הבאות:
- בדקו האם ישנם מאגרים של אימג'ים לקונטיינרים (Registry) או מערכות ניהול תוכנה אשר חשופים לאינטרנט.
- במידה והמאגר מחובר לאינטרנט בכוונה תחילה, בדקו שהגרסה אינה כוללת חולשות קריטיות וכי אינכם משתמשים בסיסמת ברירת המחדל. לאחר מכן, וודאו שהסיסמאות שלכם חזקות מספיק והחליפו אותן בתדירות גבוהה.
- וודאו כי אפשרות הגישה למשתמש האנונימי מושבתת. אם אפשרות המשתמש האנונימי פעילה בכוונה, וודאו כי יש לו את ההרשאות המינימליות וסרקו בקביעות את האובייקטים החשופים לציבור במאגר שלכם כדי לוודא כי הם לא מכילים סודות או מידע רגיש.
"הממצאים שלנו ממחישים עד כמה קל לתוקף לפגוע ב-SDLC של הארגון ומדגישים את האיום החמור של התעלמות מטעויות פשוטות בניהול הרשאות", הוסיף מורג. "מעתה והלאה, צוותי אבטחה צריכים לוודא שיש ברשותם תוכניות דיווח אחראי לליקויי אבטחה ולהשקיע יותר באיתור ומניעת איומים על שרשרת אספקת התוכנה".
לממצאי המחקר המלאים של Aqua Nautilus, קראו את הבלוג.
אודות Aqua Nautilus
צוות Nautilus מתמקד במחקר בתחום אבטחת סייבר בענן ושל טכנולוגיות cloud native. המטרה היא לחשוף נקודות תורפה, איומים ומתקפות חדשים המתמקדים בקונטיינטרים, קוברנטיס, Serverless ותשתית ענן ציבורי – ולאפשר לשיטות ולכלים חדשים לטפל בהם. באמצעות רשת גלובלית של “מלכודות דבש”, צוות Aqua Nautilus לוכד למעלה מ-80,000 מתקפות בענן מידי חודש, בפרט מתקפות הייחודיות לקונטיינרים ומיקרו-שירותים, אשר לא נראות בפלטפורמות אחרות.
אודות אקווה סקיוריטי (Aqua Security)
אקווה סקיוריטי הישראלית היא החברה המובילה בתחום אבטחת סביבות Cloud Native. אקווה מספקת לארגונים את החופש ליצור חדשנות ולנהל את הארגון שלהם עם מינימום תקלות. פלטפורמת אבטחת ה-Cloud Native של אקווה מספקת מניעה, זיהוי ותגובה אוטומטית לכל אורך מחזור חיי היישומים במטרה לאבטח תשתיות ענן ויישומים הפועלים בענן. לקוחות אקווה הם הארגונים הגדולים בעולם בענפים כגון: בנקים, חברות ביטוח, ממשל, שירותים פיננסים, מדיה, ייצור וקמעונאות. הפלטפורמה של אקווה מאבטחת מגוון רחב של סביבות ענן ציבורי ופרטי: קונטיינרים, serverless ומכונות וירטואליות בענן. אקווה, אשר הוקמה בשנת 2015, מעסיקה כ-550 עובדים, מתוכם כמחצית במטה החברה ומרכז הפיתוח בישראל. למידע נוסף בקרו ב-www.aquasec.com ועקבו אחרינו ב-twitter.com/AquaSecTeam.
