Se han encontrado millones de artefactos e imágenes de contenedores expuestos en la Internet pública a través de miles de registros de artefactos Red Hat Quay, JFrog Artifactory o Sonatype Nexus mal configurados. Muchos de estos tenían un código propietario confidencial y sensible, lo que colocaba a esas empresas en un riesgo enorme de fugas de datos y ataques cibernéticos.
Un nuevo informe del equipo de investigación de Aqua Nautilus encontró que se expusieron 250 millones de artefactos y 65 600 imágenes de contenedores, lo que dejó en riesgo a cinco empresas de Fortune 500, así como a «miles más».
Entre las empresas en riesgo estaban IBM, Alibaba, Siemens y Cisco, dijeron los investigadores.
Sorprendente y muy preocupante
Al ser «elementos cruciales» dentro de la cadena de suministro de software, los registros y los sistemas de gestión de artefactos son objetivos importantes para los ciberdelincuentes. Aqua Security afirma que muchas organizaciones desconocen, o no pueden controlar, la información confidencial y los secretos que se filtran en estos registros, y si los piratas informáticos obtienen acceso, podría significar un gran problema para las empresas objetivo. Según los investigadores, hay organizaciones que no aseguraron adecuadamente estos entornos altamente críticos.
“Los hallazgos fueron sorprendentes y muy preocupantes”, comentó Assaf Morag, investigador principal de amenazas de Aqua Nautilus.
Los investigadores encontraron claves confidenciales, como secretos, credenciales o tokens, en 1400 hosts distintos y direcciones confidenciales privadas de puntos finales. (se abre en una pestaña nueva), como Redis, MongoDB, PostgreSQL o MySQL, en 156 hosts. Además, encontraron 57 registros con errores de configuración críticos y 15 de estos permitían el acceso de administrador con la contraseña predeterminada. Más de 2100 registros de artefactos tenían permisos de carga.
Para proteger sus instalaciones y los datos confidenciales que residen allí, Nautilus recomienda que las empresas verifiquen si algún registro o sistema de gestión de artefactos está expuesto a Internet, y verifique si los que están conectados a Internet por diseño no son críticamente vulnerables. Las empresas también deben verificar que el usuario anónimo esté deshabilitado.