Más de 80,000 archivos de contraseñas y claves sensibles filtrados en línea

Fuente: CryptoNewsNet Título original: Más de 80,000 archivos sensibles de contraseñas y claves filtrados en línea Enlace original:

La firma de ciberseguridad watchTowr ha descubierto una gran cantidad de contraseñas filtradas, claves de acceso y archivos de configuración sensibles que fueron expuestos involuntariamente desde populares herramientas de formateo en línea, formateador JSON y CodeBeautify.

watchTowr Labs dijo que recopiló un conjunto de datos que contiene más de 80,000 archivos de sitios utilizados para formatear y validar código. Dentro de esos archivos, los investigadores encontraron nombres de usuario, contraseñas, claves de autenticación de repositorios, credenciales de Active Directory, cadenas de conexión a bases de datos, credenciales de FTP, claves de acceso a entornos en la nube, detalles de configuración de LDAP, claves de API de soporte técnico e incluso grabaciones de sesiones SSH.

“Hemos estado revisando plataformas que los desarrolladores utilizan para formatear rápidamente su entrada – como JSONFormatter y CodeBeautify. Y sí, tienes razón – fue exactamente tan mal como podrías esperar,” publicó el blog de watchTowr el martes.

Las utilidades en línea como JSONFormatter y CodeBeautify están destinadas a embellecer o validar formatos de datos, donde los desarrolladores pegan fragmentos de código o archivos de configuración en ellas para solucionar problemas de formato. Pero según los investigadores, muchos empleados están pegando sin saber archivos enteros que contienen secretos activos de sistemas de producción.

JSON y CodeBeautify filtran datos del gobierno, bancos y salud

Según la firma de seguridad, la falla de datos filtrados aún no ha afectado a tres plataformas, incluidas los repositorios de GitHub, los espacios de trabajo de Postman y los contenedores de DockerHub. Sin embargo, encontró cinco años de contenido histórico de JSONFormatter y un año de contenido histórico de CodeBeautify, totalizando más de 5 gigabytes de material JSON enriquecido y anotado.

“La popularidad es tan grande que el único desarrollador detrás de estas herramientas está bastante inspirado – con una visita típica a cualquier página de herramienta que desencadena más de 500 solicitudes web bastante rápido para generar lo que suponemos es un dulce, dulce ingreso por marketing de afiliados,” explicó el grupo de ciberseguridad.

watchTowr Labs dijo que organizaciones de industrias como infraestructura nacional, agencias gubernamentales, grandes instituciones financieras, compañías de seguros, proveedores de tecnología, empresas minoristas, organizaciones aeroespaciales, telecomunicaciones, hospitales, universidades, empresas de viajes e incluso proveedores de ciberseguridad han tenido toda su información privada expuesta.

“Estas herramientas son extremadamente populares, apareciendo cerca de la parte superior de los resultados de búsqueda para términos como 'JSON beautify' y 'mejor lugar para pegar secretos' ( probablemente, no comprobado ), utilizadas por organizaciones y administradores tanto en entornos empresariales como para proyectos personales,” escribió el investigador de seguridad Jake Knott en la publicación del blog.

watchTowr Labs enumeró varias categorías de datos sensibles encontrados en los archivos expuestos, como credenciales de Active Directory, claves de autenticación de repositorios de código, detalles de acceso a bases de datos, información de configuración de LDAP, claves de entorno en la nube, credenciales de inicio de sesión FTP, claves de pipeline CI/CD, claves privadas y solicitudes y respuestas completas de API con parámetros sensibles.

Los investigadores también mencionaron secretos de Jenkins, archivos de configuración encriptados pertenecientes a una firma de ciberseguridad, información de Conozca a su Cliente de bancos y credenciales de AWS pertenecientes a un importante intercambio financiero que estaban conectadas a sistemas de Splunk.

watchTowr: Actores maliciosos están raspando las filtraciones

Según el análisis de daños de watchTowr Labs, muchas de las claves filtradas han sido recopiladas y probadas por partes desconocidas. En un experimento, los investigadores subieron claves de acceso falsas de AWS a una de las plataformas de formateo, y en menos de dos días, actores maliciosos intentaron abusar de las credenciales.

“Principalmente porque alguien ya lo está explotando, y esto es realmente, realmente estúpido,” continuó Knott, “no necesitamos más plataformas de agentes autónomos impulsadas por IA; necesitamos menos organizaciones críticas pegando credenciales en sitios web aleatorios.”

JSONFormatter y CodeBeautify desactivaron temporalmente su funcionalidad de guardar en septiembre, cuando se les informó sobre la falla de seguridad. JSONFormatter dijo que “estaba trabajando para mejorarlo”, mientras que CodeBeautify mencionó que estaba implementando nuevas “medidas de prevención de contenido NSFW (No Apto Para Trabajo) mejoradas.”

Problema de seguridad en el proveedor de Terraform de HashiCorp Vault

Aparte de las credenciales filtradas, HashiCorp encontró una vulnerabilidad que podría permitir a los atacantes eludir la autenticación en su Vault Terraform Provider. La empresa proporciona a desarrolladores, negocios y organizaciones de seguridad servicios de infraestructura y protección en la nube.

Según los hallazgos de la empresa de software compartidos el martes, el fallo de Vault Terraform afecta a las versiones v4.2.0 a v5.4.0 debido a una configuración predeterminada insegura en el método de autenticación LDAP.

El problema surge porque el parámetro “deny_null_bind” está configurado como falso en lugar de verdadero cuando el proveedor configura el backend de autenticación LDAP de Vault. El parámetro determina si Vault rechaza una contraseña incorrecta o vínculos no autenticados.

Si el servidor LDAP conectado permite enlaces anónimos, los atacantes pueden autenticarse y acceder a cuentas sin ninguna credencial válida.