Researchers Find 250 Million Artifacts Exposed in Misconfigured Registries
2023/04/25 InfoSecurity — Aqua Nautilus の調査により、何千もの誤った設定のアーティファクト・リポジトリと、コンテナ・イメージ・レジストリが発見され、深刻なソフトウェア・サプライチェーン攻撃にユーザー組織がさらされる可能性があることが判明した。セキュリティ・ベンダーである同社の調査により、2億5000 万以上のソフトウェア・アーティファクトと、65,000 以上のコンテナ・イメージが、このような形で公開されている状況が判明した。いくつかの大手グローバル企業が危険にさらされ、そこには Fortune 500 企業も含まれていることも明らかされた。
数多くのケースにおいて、アーティファクト管理システムやコンテナ・レジストリは、意図的にインターネットに接続され、匿名のユーザーが接続できるようになっている。そのため、世界のステークホルダーがオープンソース・ソフトウェアにアクセスできるようになっているが、そこには誤設定というケースも含まれる。
このレポートでは、制限された環境が誤って匿名ユーザーと共有される例や、機密情報が誤ってパブリックに公開されてしまう例などが明らかにされている。
Aqua Nautilus チームが発見した誤設定として挙げられるのは、誤ってレジストリをインターネットに接続/公開レジストリに機密情報を公開/デフォルトのパスワードの使用/ユーザーへの過剰な権限付与などである。また、匿名アクセスを許可するように誤って構成されたプライベート・コンテナ・イメージ・レジストリのインスタンスや、匿名アクセスが機能として組み込まれているインスタンスも見つかった。
このレポートでは、「デフォルトの管理者パスワードなどが公開されている、深刻な脆弱性を持つ 57件のレジストリが発見され、そのうち 15件のレジストリは、デフォルトのパスワードで管理者アクセスを許可していた。また、攻撃者が悪意のコードで汚染する可能性のある、レジストリへのアップロード権限を公開している 2,100以上のアーティファクト・レジストリを検出した」と指摘されている。
世界中の中小/大企業の機密情報が、このような形で暴露されているが、その中には Fortune 500 企業 10社が含まれている。そのうちの5社では、高度な機密情報を含むレジストリの暴露や、匿名アクセスでの許可が可能になっていた。研究者たちは、レジストリに機密が漏洩している、サイバー・セキュリティ企業2社も発見している。
Aqua Nautilus は、クラウド・ネイティブ環境のリスクを軽減するために、以下のことを企業に推奨している:
- VPN/ファイアウォールなどのネットワーク制御によりリポジトリを保護する。
- 強力なパスワードや二要素認証など、強力な認証/認可を追加する。
- キー/クレデンシャル/シークレットなどを定期的にローテーションする。
- 最小権限のアクセス制御を実施し、必要に応じて特定のリポジトリやアーティファクトへのアクセス制限を行う。
- 既知の脆弱性や機密データに対する定期的なスキャンや、リポジトリの定期的なセキュリティ評価を実施する。
残念なことに、研究者たちが接触した一部のベンダーは熱心に協力して是正措置を講じたが、他の大企業は警告を無視したと、このレポートは述べている。
アーティファクト管理システムやコンテナ・レジストリが、誤ってインターネットに暴露されているという、ミスコンフィグレーションに関する問題が指摘されています。その範囲は広くて、世界のグルーバル大手や、Fortune 500 企業も含まれているようです。よろしければ、カテゴリ Container や、Redis で検索などを、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.