Sonatype的Nexus Repository Manager(NXRM)发现了两个漏洞,该漏洞是由DevOps专业人士用来在软件开发,应用程序部署和自动硬件配置中进行组件管理的开源治理平台。 漏洞被分配为CVE-2019-9629和CVE-2019-9630,是由于存储库管理器的默认设置配置不当而导致的,并且会影响3.17.0之前的版本。
Sonatype具有超过150,000个活动的NXRM活动安装,并已为公共和私营行业的许多组织所使用,已经为它们的3.16.2和3.17版本中的漏洞提供了修复程序。 CVE-2019-9629和CVE-2019-9630允许未经授权访问私有工件
Twistlock安全研究员Daniel Shapira发现CVE-2019-9629允许用户通过默认设置为 admin / admin123 的凭据访问存储库内容。 同时,默认情况下,CVE-2019-9630授予未经身份验证的用户读取存储库文件和图像的权限。
成功利用这些漏洞可能暴露用户的私有工件,例如Docker映像,Java依赖项和Python软件包。 对于CVE-2019-9630,即使没有身份验证,攻击者也将可以通过仅访问存储库来下载工件。 对于CVE-2019-9629,攻击者可以通过验证为默认管理员帐户来抢占存储库的控制权。
根据Shapira的说法,公开互联网上至少有50%的存储库在NXRM易受攻击的默认设置下工作。
3月,趋势科技的研究人员还发现了NXRM中的一个漏洞,该漏洞由CVE-2019-7238跟踪,这是由于其访问控制不足所致。 像CVE-2019-9630一样,无需身份验证即可利用CVE-2019-7238。 Sonatype:在没有用户注册的情况下提供常见工件非常重要
Sonatype的首席技术官(CTO)和联合创始人Brian Fox在最近发布的博客文章中对CVE-2019-9629和CVE-2019-9630进行了解释。
Fox表示,允许匿名访问存储库管理器以共享工件是组织的一项有用功能。 他补充说:“显然,应该仔细考虑在公共互联网上提供广泛的开放阅读访问权限,但是,正如您在许多公共伪造中所看到的那样,在无需用户签名的情况下提供通用工件的能力至关重要。”
[阅读:Docker Hub存储库数据泄露中可能受影响的190,000用户] 安全建议和趋势科技解决方案
使用NXRM和其他软件开发工具可以加快流程,并提高软件开发人员的任务效率。 由于此类工具容易受到滥用,因此组织应在软件开发中实施持续监控。 这涉及实施将解决授权问题的最小特权原则,检测漏洞并使用最新的威胁情报来打击恶意软件或滥用CVE-2019-9629和CVE-2019-9630等安全漏洞的漏洞。
组织还可以研究趋势科技DevOps安全解决方案,该解决方案通过API将安全性纳入开发流程,以缩短开发周期并减少人员接触点和错误。 这样的安全解决方案还可以通过快速关闭安全反馈循环来保护图像,容器和主机,从而减少开发计划和工作流程的中断。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢