Ödüllü bulut yerel uygulama güvenliği sağlayıcısı Oxeye, bugün güvenlik araştırmacılarının, popüler açık kaynaklı yapı olan CNCF mezun projesi Harbor’da IDOR (Güvensiz Yönetici Nesne Referansı) güvenlik açıklarının birkaç yeni yüksek önem dereceli varyantını ortaya çıkardığını duyurdu. VMware tarafından kayıt defteri.
Harbour, içeriği depolayan, imzalayan ve tarayan açık kaynaklı bir bulut yerel kayıt defteri projesidir. Kullanıcı yönetimi, erişim kontrolü ve aktivite denetimi gibi güvenlik özellikleri sağlamak için çeşitli Docker kayıtları ile entegre olabilir.
Erişim denetimi güvenlik açığı olarak sınıflandırılan IDOR, bir uygulama nesnelere doğrudan erişmek için kullanıcı tarafından sağlanan girdiyi kullandığında ortaya çıkar. IDOR, yüksek önem derecesine sahip bir tehdittir ve en güncel OWASP ilk 10 listesindeki en ciddi web uygulaması güvenlik riski olarak kabul edilir.
Erişim kontrol sistemleri, kullanıcıların amaçlanan izinlerin dışında hareket etmelerini engelleyen politikaları uygulamak için tasarlanmıştır.
Erişim denetimi arızaları tipik olarak yetkisiz bilgilerin ifşa edilmesine, değiştirilmesine, verilerin silinmesine veya iş işlevlerinin bir kullanıcının sınırları dışında gerçekleştirilmesine yol açar.
Bu araştırmada, kullanıcıların uygulama yapıtlarını daha iyi yönetmelerini sağlayan VMware’s Harbor’da IDOR keşfedildi. Rol tabanlı erişim denetimi (RBAC), genellikle IDOR güvenlik açıklarına karşı en iyi uygulamadır, ancak bu araştırma, bu teoriyi şaşırtıcı sonuçlarla test etti.
Harbor’daki IDOR güvenlik açığı, web kancası ilkelerinin izinsiz olarak açıklanmasına neden oluyor. Harbour, kullanıcıların, örneğin yeni bir yapıt gönderildiğinde veya mevcut bir yapı silindiğinde, depodaki belirli olaylar hakkında bildirimler almak için web kancası ilkelerini yapılandırmasına olanak tanır.
Bir web kancası ilkesi eklendikten sonra, bir Harbour kullanıcısı, oluşturulan web kancası ilkelerinin ayrıntılarını görüntüleyebilir.
Bu örnekte, güvenlik açığı, Harbor’ın yalnızca istekte bulunan kullanıcının istekte belirtilen proje kimliğine erişimi olduğunu doğrulamaya çalışması nedeniyle oluştu.
Ancak istenen web kancası kimliğinin belirtilen proje kimliğine ait olduğunu doğrulayamadı.
Başka bir IDOR varyantı, iş yürütme günlüklerinin ifşa edilmesine yol açar. P2P (eşler arası) ön ısıtma, Harbour kullanıcılarının Docker görüntülerini ölçekte dağıtmak için Dragonfly veya Kraken gibi P2P motorlarıyla entegre olmasına olanak tanır.
Bir saldırgan, bu IDOR güvenlik açığını daha önce Oxeye araştırma ekibi tarafından tanımlanan “ParseThru” güvenlik açığıyla birleştirerek, erişim kimlik bilgilerine sahip olmadığı Docker görüntü katmanlarını okuma yeteneğine sahip olabilir.
Aşağıdaki IDOR CVE numaraları, GitHub’a geri bağlanır ve yukarıda belirtilen güvenlik açıklarıyla ilişkilidir.
Oxeye CTO’su ve Kurucu Ortağı Ron Vider, “Rol tabanlı erişim denetimi (RBAC), güçlü bir güvenlik konumunu sürdürmek için önemli olsa da, IDOR güvenlik açıklarına karşı mutlak sistem savunması için her şeyin sonu değildir,” dedi.
“Oxeye güvenlik araştırmacıları Gal Goldshtein ve Daniel Abeles tarafından açıklandığı gibi, API uç noktaları için katı roller belirlemeyi, izin modellerini kırma girişiminde bu rolleri test etmek için tehdit aktörlerini simüle etmeyi ve tek bir kaynağı sürdürmek için mülk tekrarından kaçınmayı içeren daha sağlam uygulamalar uygulamak. gerçeğin varlığı, dayanıklılığı sağlayabilir.”
Bu duyuruda bahsedilen tüm IDOR varyantları, hızlı ve etkili bir çözüm için hemen işbirliği yapan VMware Security Response ve Harbour Engineering ekiplerine iletilmiştir. Tümü, Harbor’ın en son sürümünde ele alındı (düzeltildi). Harbor’daki IDOR güvenlik açığı hakkında ek bilgi için lütfen https://www.oxeye.io/blog/guess-whos-rbac adresindeki Oxeye güvenlik blogunu ziyaret edin.
“Biz ve ortaklarımız tarafından dağıtılan açık kaynaklı yazılımların ve ticari dağıtımların kalitesi, bizim ve onu kullanan kuruluşlar için hayati önem taşımaktadır. Oxeye ve araştırmacılarına, güvenlik açıklarını bulma konusundaki gayretleri ve bunları ele almamıza yardımcı olan mükemmel işbirlikleri için minnettarız.” – Roger Klorese, Ürün Grubu Müdürü, Project Harbor, VMware
Oxeye müşterileri, bu IDOR güvenlik açıklarını tespit etmek ve azaltmak için Oxeye bulut yerel güvenlik platformundan yararlanabilir.
Oxeye’ın bulut yerel uygulama güvenliği zorluklarına nasıl yardımcı olabileceği hakkında daha fazla bilgi edinmek istiyorsanız, lütfen bir gösteriye kaydolmak için https://www.oxeye.io/get-a-demo adresini ziyaret edin.
Kaynaklar:
● Oxeye’ı Twitter’da @OxeyeSecurity’de takip edin
● LinkedIn’de Oxeye’ı takip edin
● Oxeye’ı çevrimiçi olarak http://www.oxeye.io adresinde ziyaret edin.
Okseye Hakkında
Oxeye, modern kapsayıcı ve Kubernetes tabanlı mimariler için özel olarak tasarlanmış, bulutta yerel bir uygulama güvenliği çözümü sunar.
Şirket, temassız değerlendirme, istismar edilebilir risklere odaklanma ve eyleme geçirilebilir iyileştirme rehberliği sağlayan sorunsuz, kapsamlı ve etkili bir çözüm sunarak, müşterilerin yazılım geliştirme yaşam döngüsünün ayrılmaz bir parçası olarak tüm uygulama katmanı risklerini hızlı bir şekilde belirlemelerini ve çözmelerini sağlar. Dev ve AppSec ekipleri için tasarlanan Oxeye, geliştirme döngülerini hızlandırırken, sürtünmeyi azaltırken ve riskleri ortadan kaldırırken güvenliği sola kaydırmaya yardımcı olur. Daha fazla bilgi edinmek için lütfen www.oxeye.io adresini ziyaret edin.