Більше 80 000 чутливих паролів і файлів ключів злили в Інтернеті

Джерело: CryptoNewsNet Оригінальна назва: В Інтернеті з'явилося понад 80 000 чутливих паролів та файлів ключів. Оригінальне посилання:

Фірма з кібербезпеки watchTowr виявила величезну кількість зламаних паролів, ключів доступу та чутливих конфігураційних файлів, які були ненавмисно відкриті з популярних онлайн-інструментів форматування, JSON formatter і CodeBeautify.

watchTowr Labs повідомила, що вона зібрала набір даних, що містить більше 80 000 файлів з сайтів, використаних для форматування та перевірки коду. У цих файлах дослідники виявили імена користувачів, паролі, ключі аутентифікації репозиторіїв, облікові дані Active Directory, рядки підключення до бази даних, облікові дані FTP, ключі доступу до хмарного середовища, деталі конфігурації LDAP, ключі API служби підтримки і навіть записи сеансів SSH.

“Ми переглядали платформи, які розробники використовують, щоб швидко форматувати свій вхід – такі як JSONFormatter та CodeBeautify. І так, ви праві – все пішло точно так погано, як ви могли очікувати,” йдеться в блозі watchTowr, опублікованому у вівторок.

Онлайн-сервіси, такі як JSONFormatter та CodeBeautify, призначені для покращення або перевірки форматів даних, куди розробники вставляють фрагменти коду або конфігураційні файли для усунення проблем з форматуванням. Але, за словами дослідників, багато співробітників ненавмисно вставляють цілі файли, які містять живі секрети з виробничих систем.

JSON та CodeBeautify витікають дані з урядів, банків та охорони здоров'я

За даними компанії з безпеки, витік даних ще не вплинув на три платформи, включаючи репозиторії GitHub, робочі простори Postman та контейнери DockerHub. Однак було виявлено п'ять років історичного контенту з JSONFormatter та один рік історичного контенту з CodeBeautify, загалом понад 5 гігабайтів збагаченого та анотованого JSON-матеріалу.

“Популярність настільки велика, що єдиний розробник цих інструментів досить натхненний - з типовим візитом на будь-яку домашню сторінку інструменту, що викликає понад 500 веб-запитів досить швидко для генерації того, що ми припускаємо, є деяким солодким, солодким доходом від афілійованого маркетингу,” - пояснила група кібербезпеки.

watchTowr Labs повідомила, що організації з таких галузей, як національна інфраструктура, урядові агентства, великі фінансові установи, страхові компанії, постачальники технологій, роздрібні компанії, аерокосмічні організації, телекомунікаційні компанії, лікарні, університети, туристичні компанії та навіть постачальники кібербезпеки, всі мали свої конфіденційні дані скомпрометовані.

“Ці інструменти користуються великою популярністю, з’являючись близько вершини результатів пошуку за термінами, такими як 'JSON beautify' та 'найкраще місце для вставки секретів' (напевно, непідтверджено), використовуються організаціями та адміністраторами як в корпоративних середовищах, так і для особистих проектів,” написав дослідник безпеки Джейк Нотт у блозі.

watchTowr Labs перерахував кілька категорій чутливих даних, знайдених у відкритих файлах, таких як облікові дані Active Directory, ключі аутентифікації репозиторію коду, деталі доступу до бази даних, інформація про налаштування LDAP, ключі хмарного середовища, облікові дані для входу FTP, ключі CI/CD pipeline, приватні ключі та повні запити та відповіді API з чутливими параметрами.

Слідчі також згадали про секрети Дженкінса, зашифровані конфігураційні файли, що належать компанії з кібербезпеки, інформацію «Знай свого клієнта» з банків та облікові дані AWS, що належать великій фінансовій біржі, які були пов'язані з системами Splunk.

watchTowr: Зловмисники витягують витоки

Згідно з аналізом шкоди watchTowr Labs, багато з витоків ключів були зібрані та протестовані невідомими сторонами. У експерименті дослідники завантажили підроблені ключі доступу AWS на одну з платформ форматування, і всього за два дні зловмисники спробували зловживати цими обліковими даними.

“Переважно тому, що хтось вже цим користується, і це все насправді дуже, дуже тупо,” продовжив Кнотт, “нам не потрібно більше платформ агентів з штучним інтелектом; нам потрібно менше критичних організацій, які вставляють облікові дані на випадкові веб-сайти.”

JSONFormatter та CodeBeautify тимчасово відключили свою функцію збереження у вересні, коли їм було повідомлено про вразливість безпеки. JSONFormatter заявив, що “працює над покращенням”, тоді як CodeBeautify повідомила, що впроваджує нові “покращені заходи запобігання контенту (Not Safe For Work)”.

Проблема безпеки в Terraform Provider для Vault від HashiCorp

Окрім витоків облікових даних, HashiCorp виявила вразливість, яка може дозволити зловмисникам обійти аутентифікацію в її Vault Terraform Provider. Компанія надає розробникам, бізнесу та організаціям безпеки інфраструктуру хмарних обчислень та послуги захисту.

Згідно з висновками програмної компанії, опублікованими у вівторок, вразливість Vault Terraform впливає на версії v4.2.0 до v5.4.0 через ненадійну конфігурацію за замовчуванням у методі аутентифікації LDAP.

Проблема виникає через те, що параметр “deny_null_bind” встановлено в значення false замість true, коли постачальник конфігурує LDAP-аутентифікаційний бекенд Vault. Цей параметр визначає, чи відхиляє Vault неправильний пароль або неаутентифіковані зв'язки.

Якщо підключений сервер LDAP дозволяє анонімні зв'язки, зловмисники можуть аутентифікуватися та отримати доступ до облікових записів без жодних дійсних облікових даних.