Команды разработчиков часто используют реестры программного обеспечения для хранения, управления и распространения программного обеспечения, библиотек и инструментов, а также используют репозитории для централизованного хранения и сопровождения определенных пакетов программного обеспечения из реестра.
Функция репозиториев артефактов заключается в том, чтобы помочь организациям хранить артефакты программного проекта, такие как исходный код, двоичные файлы, документация и артефакты сборки, и с удобством управлять ими. Системы управления артефактами могут также включать образы Docker и пакеты из общедоступных репозиториев, таких как Maven, NPM и NuGet.
Часто организации, использующие в своих проектах открытый исходный код, подключают свои внутренние реестры и системы управления артефактами к Интернету и разрешают анонимный доступ к определенным частям реестра. Обычно это делается для банального удобства. Однако злоумышленники, стремящиеся скомпрометировать среды разработки корпоративного программного обеспечения, в последние годы всё чаще стали нацеливаться на реестры программного обеспечения и хранилища.
Некоторые атаки были связаны с попытками злоумышленников внедрить вредоносный код в среды разработки и сборки напрямую или через зараженные пакеты, размещенные в NPM, PyPI и других широко используемых общедоступных репозиториях. В иных случаях злоумышленники использовали эти инструменты для получения доступа к конфиденциальной информации, такой как учетные данные, пароли и API, хранящиеся в них.
Согласно новому исследованию специалистов Aqua Security, многие организации, включая некоторые крупнейшие компании мира, подвергаются повышенному риску компрометации и кражи данных из неправильно сконфигурированных и плохо защищенных реестров программного обеспечения и репозиториев артефактов.
Исследователи выявили около 250 миллионов программных артефактов и более 65 тысяч образов контейнеров, находящихся в открытом доступе в Интернете. Среди около 13 тысяч реестров образов контейнеров, которые были доступны через Интернет, почти 3 тысячи разрешали доступ анонимному пользователю. Ещё на 1400 хостах специалисты Aqua обнаружили по крайней мере один конфиденциальный элемент данных, такой как ключи, токены и учётные данные. В дополнение, на 156 хостах компания обнаружила частные адреса конечных точек, таких как MongoDB, Redis и PostgreSQL.
“Крайне важно, чтобы организации любых размеров по всему миру уделяли время проверке безопасности своих реестров – как государственных, так и частных”, – советует Ассаф Мораг, ведущий специалист по анализу угроз и данных в Aqua Security.
“Организации, у которых есть код в публичных реестрах или которые подключили свои реестры к Интернету и разрешают анонимный доступ, должны убедиться, что их код и реестры не содержат секретов , интеллектуальной собственности или конфиденциальной информации”, – добавил Мораг.
Исследование Aqua наглядно показало, что во многих случаях организации непреднамеренно облегчают злоумышленникам проведение подобных атак, ошибочно подключая реестры, содержащие конфиденциальную информацию, к Интернету, и размещая секреты в общедоступных хранилищах, используя стандартные пароли для контроля доступа.
Чтобы избежать подобных проблем, стоит лишний раз перестраховаться и запретить весь лишний и ненужный для процесса разработки доступ. А также внедрить соответствующие системы защиты, дабы минимизировать любые возможные риски.