Основни процеси в базираните на Git системи за управление на изходния код (SCM) водят до това, че кодът остава достъпен дори след изтриване или пренаписване, което продължава да разкрива изтеглени преди това тайни, показва ново проучване на Aqua Security.
Най-добрите практики в областта на сигурността повеляват разработчиците никога да не кодират тайните с твърд код, а новото изследване на Aqua показва, че тайната – независимо дали става въпрос за парола, токен или ключ за достъп – която е била кодирана веднъж, може да бъде постоянно изложена на риск дори след премахването ѝ, тъй като повечето скенери за тайни вероятно ще я пропуснат. Aqua ги нарича „фантомни“ тайни.
Конвенционалните методи за сканиране, повечето от които сканират само хранилища, достъпни чрез командата за клониране на Git, вероятно ще пропуснат около 18 % от потенциално изложените на риск тайни, открива Aqua, след като прегледа над 50 000 хранилища, принадлежащи на 100-те най-големи организации в GitHub.
„По време на изследването ни разкрихме някои значими тайни, включително получаване на достъп до пълните облачни среди на някои от най-големите организации в света, проникване във вътрешната инфраструктура за размиване на чувствителни проекти, достъп до телеметрични платформи и дори получаване на достъп до мрежови устройства, SNMP тайни и записи от камери на компании от списъка Fortune 500“, казва фирмата за киберсигурност.
Едно от публичните хранилища на Mozilla в GitHub съдържа API токен за FuzzManager – вътрешен инструмент, използван за събиране, управление и анализ на данни за фъзинг, който осигурява достъп до данни за фъзинг на Firefox.
Конфигуриран с високи привилегии, той позволява достъп за четене и запис, което потенциално позволява на нападателя да получи достъп до информация за непоправени уязвимости, засягащи както Firefox, така и браузъра Tor.
Aqua също така намери API токен на служител на Mozilla, който осигуряваше достъп до телеметрична система, която събира статистически данни за използването и производителността, заедно с други данни за Firefox, използвани за подобряване на производителността.
Бяха открити и уязвими API токени на Meraki на компании от Fortune 500, предоставящи достъп до Meraki Dashboard API, който се използва за управление на мрежови ресурси.
Освен това Aqua откри Azure service principal token, принадлежащ на голяма компания в областта на здравеопазването, който осигурява достъп до много от ресурсите на организацията в Azure, тъй като има високи привилегии в Azure AD.
В допълнение към осигуряването на пълен контрол върху клъстерите Kubernetes на организацията, токенът може да се използва за получаване на пълномощия за вътрешния регистър на контейнерите Azure, „което би могло да накара атакуващия да извърши атака по веригата на доставки, като прокара зловреден имидж на контейнер, засягайки организацията и клиентите“, обяснява Aqua.
Всички тези тайни са били съобщени на засегнатите организации и са били ротирани, за да се предотврати компрометиране.
Въпреки повишената осведоменост относно рисковете, свързани с изтичането на тайни, и съществуването на инструменти и програми за възнаграждение за грешки, които помагат за издирването на тези експозиции, проблемът не е изкоренен, обяснява Aqua, като посочва как са разработени инструментите за сканиране на тайни.
„Проблемът с разкритите тайни в изходния код остава често срещано и значително предизвикателство в жизнения цикъл на разработване на софтуер (SDLC). Не всички инструменти за сканиране на тайни са еднакви, разнообразните инструменти за сканиране се различават по обема на резултатите и по нивото на тяхната точност“, отбелязва Aqua.
„Когато създавате инструмент за сканиране на тайни, трябва да вземете някои основни инженерни решения, например дали механизмът за откриване ще се основава на разпознаване, или откриването ще е на базата на ентропия“, допълва тя.
Шаблоните на API ключовете, тайните, кодирани на непредсказуеми места, пълномощията с различни нива на ентропия, ограниченията и поведението на SCM платформите, които влияят върху точността на скенера, и различните методи за кодиране на тайните в кода допринасят за сложността на проблема.
В техническия текст Aqua подробно описва някои от слепите места, които инструментите за сканиране на тайни могат да пропуснат, как ангажиментите остават достъпни чрез изгледи на кеша дори след изтриване и някои от методите, които нападателите могат да използват, за да извлекат тайни от ангажименти, които са били премахнати от хранилищата.
В допълнение към прилагането на най-добрите практики за сигурност по време на целия жизнен цикъл на кода, на разработчиците се препоръчва да смятат тайните, които случайно са били пуснати в производство, за компрометирани и незабавно да ги завъртят, както и да положат всички необходими усилия за премахването им от публичните хранилища.
„Констатациите още веднъж затвърждават най-добрата практика, че тайните никога не трябва да се поставят в кода, дори за целите на тестването, и екипите по сигурността трябва да могат да наблюдават това. Веригата за доставка на софтуер е оптимизирана за бързина и удобство, но това не може да става за сметка на сигурните инженерни практики“, заяви главният технически директор и съосновател на Aqua Security Амир Джерби.
