80,000以上の機密パスワードおよびキー・ファイルがオンラインで漏洩しました

ソース: CryptoNewsNet 原題: 80,000以上の機密パスワードおよびキー ファイルがオンラインで漏洩 オリジナルリンク:

サイバーセキュリティ企業watchTowrは、人気のオンラインフォーマットツール、JSONフォーマッター、CodeBeautifyから意図せずに露出した漏洩したパスワード、アクセスキー、敏感な設定ファイルの宝庫を発見しました。

watchTowr Labsは、コードのフォーマットと検証に使用されるサイトから80,000以上のファイルを含むデータセットを収集したと述べました。それらのファイルの中で、研究者たちはユーザー名、パスワード、リポジトリアクセスキー、Active Directory認証情報、データベース接続文字列、FTP認証情報、クラウド環境アクセスキー、LDAP設定の詳細、ヘルプデスクAPIキー、さらにはSSHセッションの録音を見つけました。

“私たちは、開発者が入力を迅速に整形するために使用するプラットフォーム、例えば JSONFormatter や CodeBeautify を調査していました。そして、はい、あなたは正しいです – あなたが予想する通りに、まさに悪い結果になりました。” watchTowr のブログ投稿が火曜日に公開されました。

JSONFormatterやCodeBeautifyなどのオンラインユーティリティは、データフォーマットを整形または検証するためのものであり、開発者がコードや設定ファイルのスニペットを貼り付けてフォーマットの問題をトラブルシューティングするために使用します。しかし、研究者によると、多くの従業員は生産システムからのライブシークレットを含むファイル全体を知らず知らずのうちに貼り付けているとのことです。

JSONとCodeBeautifyが政府、銀行、医療からデータを漏洩

セキュリティ会社によると、漏洩したデータの欠陥は、GitHubリポジトリ、Postmanワークスペース、DockerHubコンテナを含む3つのプラットフォームにはまだ影響を与えていない。しかし、JSONFormatterからの5年間の履歴コンテンツと、CodeBeautifyからの1年間の履歴コンテンツを発見し、合計で5ギガバイト以上の強化された注釈付きJSON資料がある。

「人気が非常に高いため、これらのツールの唯一の開発者はかなりインスパイアされている – あるツールのホームページを訪れると、500件以上のウェブリクエストが迅速にトリガーされ、私たちが想定する甘いアフィリエイトマーケティング収益を生成する」とサイバーセキュリティグループは説明しました。

watchTowr Labsは、国家インフラ、政府機関、大手金融機関、保険会社、テクノロジー提供者、小売企業、航空宇宙組織、通信会社、病院、大学、旅行業、さらにはサイバーセキュリティベンダーなどの業界の組織がすべてその個人情報を漏洩されたと述べました。

“これらのツールは非常に人気があり、'JSON beautify'や'best place to paste secrets'といった用語の検索結果の上位に表示されます。(おそらく、証明されていない)、企業環境と個人プロジェクトの両方で組織や管理者によって使用されています。” セキュリティ研究者のジェイク・ノットはブログ投稿で述べました。

watchTowr Labsは、公開されたファイル内で見つかったいくつかのカテゴリの機密データを列挙しました。これには、Active Directoryの認証情報、コードリポジトリの認証キー、データベースアクセスの詳細、LDAP設定情報、クラウド環境のキー、FTPログイン資格情報、CI/CDパイプラインキー、秘密鍵、および機密パラメータを含む完全なAPIリクエストとレスポンスが含まれます。

調査官は、Jenkinsの秘密、サイバーセキュリティ会社に属する暗号化された設定ファイル、銀行からの顧客確認情報、そして主要な金融取引所に属するAWS資格情報がSplunkシステムに関連していることも言及しました。

watchTowr: 悪意のある行為者が漏洩をスクレイピングしています

watchTowr Labsの損害分析によると、多くの漏洩したキーが不明な当事者によって収集され、テストされている。実験では、研究者たちが偽のAWSアクセスキーをフォーマットプラットフォームの1つにアップロードし、わずか2日足らずで悪意のある行為者がその資格情報を悪用しようとした。

「主に誰かがすでにそれを利用しているからで、これは本当に本当に愚かなことだからです」とノットは続けました。「私たちはAI駆動のエージェントプラットフォームをもっと必要としているわけではありません。私たちが必要としているのは、無作為なウェブサイトに認証情報を貼り付けるクリティカルな組織を減らすことです。」

JSONFormatterとCodeBeautifyは、セキュリティの欠陥が指摘された9月に、保存機能を一時的に無効にしました。JSONFormatterは「より良くするために取り組んでいる」と述べ、一方CodeBeautifyは新しい「強化されたNSFW (Not Safe For Work)コンテンツ防止措置を実施している」と述べました。

HashiCorpのVault Terraformプロバイダーにおけるセキュリティ問題

漏洩した資格情報とは別に、HashiCorpはそのVault Terraform Providerにおいて攻撃者が認証をバイパスできる脆弱性を発見しました。同社は開発者、企業、セキュリティ組織にクラウドコンピューティングインフラストラクチャと保護サービスを提供しています。

ソフトウェア会社が火曜日に共有した調査結果によると、Vault Terraformの脆弱性は、LDAP認証方式の不安定なデフォルト設定により、バージョンv4.2.0からv5.4.0に影響を与えます。

問題は、プロバイダーがVaultのLDAP認証バックエンドを設定する際に、"deny_null_bind"パラメーターがtrueではなくfalseに設定されているために発生します。このパラメーターは、Vaultが間違ったパスワードまたは認証されていないバインドを拒否するかどうかを決定します。

接続されたLDAPサーバーが匿名バインドを許可している場合、攻撃者は有効な認証情報なしに認証し、アカウントにアクセスすることができます。