聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
Aqua Security 公司的研究人员 Yakir Kadkoda 和 Assaf Morag 在报告中指出,在公开仓库中找到了 Kubernetes 机密,可导致恶意人员访问软件开发生命周期 (SDLC) 中的敏感环境并引发严重的供应链攻击威胁。
报告指出,“这些企业包括 SAP 的 Artifacts 管理系统,该系统中含有9500多万个工件;两家顶级区块链公司;以及多家财富500强企业。” 研究人员支出,这些编码的 Kubernetes 配置机密被上传到公开仓库中。Kubernetes 机密对于管理开源容器协调环境中的敏感数据而言至关重要。然而,这些机密通常以不加密的形式存储在 API 服务器的底层数据库中,使其易受攻击影响。
研究人员提到他们关注的两种 Kubernetes 机密:dockercfg 和 dockerconfigjson。它们存储的凭据可用于访问外部注册表并使用 GitHub 的 API 识别 Kubernetes 机密并上传到公开仓库的实例。研究团队指出,“我们在公开仓库中发现了数百个实例影响个人、开源项目和大型组织机构等,这说明了问题非常严重。”
研究报告中提到,“我们使用 GitHub 的 API 进行搜索,检索所有包含 .dockerconfigjson 和 .dockercfg 的所有条目。最初的查询找到了8000多个结果,促使我们优化搜索仅将包含通过base64编码的用户和密码值的记录。这一精简得出了可能持有注册表合法凭据的438条记录。”
在这些记录中,其中203条记录也就是大概46%的记录中包含的合法凭据可想各自的注册表提供访问权限。在多数情况下,这些凭据可用于拉取和推送权限。此外,我们经常在多数注册表中发现私有容器镜像。我们向相关利益相关者通知了这些遭暴露的机密和他们应该采取的缓解步骤。”
研究人员发现很多践行者有时会忘记从GitHub所提交公开仓库的文件中删除机密,从而导致敏感信息遭暴露,“它们离明文机密只差一个 base64 解码命令。”在一个案例中,研究人员发现了 SAP SE 的 Artifacts 仓库的有效凭据,可用于访问9500多万个工件,还发现下载权限和有限的部署操作。研究人员提到,“这个 Artifacts 仓库密钥的暴露引发巨大的安全风险。这类访问权限造成的潜在威胁包括泄露专有代码、数据泄露以及供应链攻击风险,所有这些威胁可攻陷组织机构的完整性以及客户的安全性。”
研究人员表示,还发现了两个顶级区块链公司注册表的机密以及与2948个唯一容器镜像关联的合法 Docker hub 凭据。
Okta 支持系统遭攻陷,已有Cloudflare、1Password等三家客户受影响
Okta 结束Lapsus$ 供应链事件调查,称将加强第三方管控
MSI UEFI 签名密钥遭泄漏 恐引发“灾难性”供应链攻击
OilRig APT 组织或在中东地区发动更多 IT 供应链攻击
适用于Kubernetes 的AWS IAM 验证器中存在漏洞,导致提权等攻击
PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点
https://www.securityweek.com/researchers-discover-dangerous-exposure-of-sensitive-kubernetes-secrets/
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh