80.000'den fazla hassas şifre ve anahtar dosyası çevrimiçi sızdırıldı

Kaynak: CryptoNewsNet Orijinal Başlık: 80.000'den fazla hassas şifre ve anahtar dosyası çevrimiçi sızdırıldı Orijinal Bağlantı:

Siber güvenlik firması watchTowr, popüler çevrimiçi formatlama araçlarından, JSON formatlayıcıdan ve CodeBeautify'den istem dışı olarak ifşa edilen bir dizi sızdırılmış şifre, erişim anahtarı ve hassas yapılandırma dosyası keşfetti.

watchTowr Labs, kodu biçimlendirmek ve doğrulamak için kullanılan sitelerden 80.000'den fazla dosya içeren bir veri seti topladığını söyledi. Bu dosyaların içinde, araştırmacılar kullanıcı adları, şifreler, depo kimlik doğrulama anahtarları, Active Directory kimlik bilgileri, veritabanı bağlantı dizeleri, FTP kimlik bilgileri, bulut ortamı erişim anahtarları, LDAP yapılandırma ayrıntıları, yardım masası API anahtarları ve hatta SSH oturumlarının kayıtlarını buldu.

“Geliştiricilerin girdilerini hızlı bir şekilde biçimlendirmek için kullandıkları platformları karıştırdık – JSONFormatter ve CodeBeautify gibi. Ve evet, haklısınız – tam olarak beklediğiniz kadar kötü gitti,” watchTowr'un Salı günü yayınlanan blog yazısı.

JSONFormatter ve CodeBeautify gibi çevrimiçi araçlar, geliştiricilerin biçimlendirme sorunlarını gidermek için kod parçacıklarını veya yapılandırma dosyalarını yapıştırdığı, veri formatlarını güzelleştirmek veya doğrulamak amacıyla tasarlanmıştır. Ancak araştırmacılara göre, birçok çalışan farkında olmadan üretim sistemlerinden canlı şifreler içeren tam dosyaları yapıştırıyor.

JSON ve CodeBeautify, hükümetten, bankalardan ve sağlık kuruluşlarından veri sızdırıyor.

Güvenlik firmasına göre, sızdırılan veri açığı henüz GitHub depoları, Postman çalışma alanları ve DockerHub konteynerleri dahil olmak üzere üç platformu etkilemedi. Ancak, JSONFormatter'dan beş yıllık tarihsel içerik ve CodeBeautify'dan bir yıllık tarihsel içerik buldu ve toplamda 5 gigabayttan fazla zenginleştirilmiş ve anotasyonlu JSON materyali elde etti.

“Popülarite o kadar büyük ki, bu araçların tek geliştiricisi oldukça ilham almış durumda – herhangi bir araç ana sayfasını ziyaret etmek, hızlı bir şekilde 500'den fazla web isteği tetikleyerek, tahminimize göre bazı tatlı, tatlı ortaklık pazarlama gelirleri üretmekte,” diye açıkladı siber güvenlik grubu.

watchTowr Labs, ulusal altyapı, devlet kurumları, büyük finansal kuruluşlar, sigorta şirketleri, teknoloji sağlayıcıları, perakende firmaları, havacılık organizasyonları, telekomünikasyon şirketleri, hastaneler, üniversiteler, seyahat işletmeleri ve hatta siber güvenlik satıcıları gibi endüstrilerden gelen kuruluşların özel bilgilerinin ifşa edildiğini söyledi.

“Bu araçlar son derece popülerdir, 'JSON güzelleştir' ve 'gizli bilgileri yapıştırmak için en iyi yer' gibi terimler için arama sonuçlarının en üstünde yer almaktadır. ( muhtemelen, kanıtlanmamış ), hem kurumsal ortamlarda hem de kişisel projelerde organizasyonlar ve yöneticiler tarafından kullanılmaktadır,” güvenlik araştırmacısı Jake Knott blog yazısında yazdı.

watchTowr Labs, ifşa edilen dosyalar içinde bulunan hassas veri kategorilerini, Aktif Dizin kimlik bilgileri, kod havuzu kimlik doğrulama anahtarları, veritabanı erişim ayrıntıları, LDAP yapılandırma bilgileri, bulut ortamı anahtarları, FTP giriş kimlik bilgileri, CI/CD boru hattı anahtarları, özel anahtarlar ve hassas parametrelerle birlikte tam API istekleri ve yanıtları gibi birkaç kategori olarak listeledi.

Soruşturmacılar ayrıca Jenkins gizli bilgilerini, bir siber güvenlik firmasına ait şifrelenmiş yapılandırma dosyalarını, bankalardan gelen Müşterinizi Tanıyın bilgilerini ve Splunk sistemlerine bağlı büyük bir finansal borsa ile ilişkili AWS kimlik bilgilerini de belirttiler.

watchTowr: Kötü niyetli aktörler sızıntıları kazıyor

watchTowr Labs'ın zarar analizine göre, sızdırılan anahtarların birçoğu bilinmeyen taraflar tarafından toplanmış ve test edilmiştir. Bir deneyde, araştırmacılar sahte AWS erişim anahtarlarını bir formatlama platformuna yüklediler ve sadece iki gün içinde kötü niyetli aktörler bu kimlik bilgilerini kötüye kullanmaya çalıştılar.

“Çoğunlukla çünkü birisi bunu zaten sömürüyor ve bu gerçekten, gerçekten aptalca,” diye devam etti Knott, “daha fazla AI destekli ajans platformuna ihtiyacımız yok; rastgele web sitelerine kimlik bilgilerini yapıştıran daha az kritik organizasyona ihtiyacımız var.”

JSONFormatter ve CodeBeautify, güvenlik açığı kendilerine bildirildiğinde Eylül ayında kaydetme işlevlerini geçici olarak devre dışı bıraktı. JSONFormatter, “daha iyi hale getirmek için çalıştığını” belirtirken, CodeBeautify yeni “gelişmiş NSFW (İş Yerinde Güvenli Değildir) içerik önleme önlemleri uyguladığını” söyledi.

HashiCorp'un Vault Terraform Sağlayıcısındaki güvenlik sorunu

Sızdırılan kimlik bilgileri dışında, HashiCorp, saldırganların Vault Terraform Provider'ında kimlik doğrulamasını atlamalarına izin verebilecek bir güvenlik açığı buldu. Firma, geliştiricilere, işletmelere ve güvenlik organizasyonlarına bulut bilişim altyapısı ve koruma hizmetleri sunmaktadır.

Yazılım şirketinin Salı günü paylaştığı bulgulara göre, Vault Terraform açığı, LDAP kimlik doğrulama yöntemindeki güvensiz varsayılan yapılandırmadan kaynaklanan v4.2.0 ile v5.4.0 arasındaki sürümleri etkilemektedir.

Sorun, sağlayıcının Vault'un LDAP kimlik doğrulama arka ucunu yapılandırırken “deny_null_bind” parametresini true yerine false olarak ayarlamasından kaynaklanmaktadır. Bu parametre, Vault'un yanlış bir şifreyi veya kimlik doğrulaması yapılmamış bağlamaları reddedip reddetmeyeceğini belirler.

Bağlı LDAP sunucusu anonim bağlamalara izin veriyorsa, saldırganlar geçerli kimlik bilgileri olmadan kimlik doğrulaması yapabilir ve hesaplara erişebilir.