Тысячи частных артефактов оказались под угрозой из-за уязвимостей в репозитории Sonatype Nexus
Проблемы связаны с дефолтными настройками Nexus.
В менеджере репозиториев Sonatype Nexus выявлены две уязвимости, предоставляющие возможность получить доступ к тысячам частных артефактов. По словам эксперта Twistlock Дэниэла Шапира (Daniel Shapira), проблемы связаны с дефолтными настройками Nexus. Первая (CVE-2019-9629) заключается в использовании для аутентификации в web-интерфейсе комбинации логин/пароль admin/admin123, благодаря чему кто угодно со знанием этих учетных данных может получить доступ к содержимому репозитория. А вторая (CVE-2019-9630) связана с тем, что любой пользователь может загрузить образы из репозитория без аутентификации.
Как отметил Шапира, по меньшей мере половина из проанализированных им репозиториев использовала установленные по умолчанию настройки. Кроме того, во многих случаях пользователи настраивали новые аккаунты со сложными паролями и устанавливали разрешения на просмотр ресурсов, но при этом оставляли дефолтные учетные записи администратора, тем самым подвергая себя риску.
Эти уязвимости «раскрыли тысячи частных артефактов организаций в различных сферах», включая госструктуры, компании в финансовом секторе и сфере здравоохранения, подчеркнул эксперт.
Исследователь проинформировал Sonatype о проблемах в марте нынешнего года, в конце июня компания выпустила исправленную версию Nexus 3.17.0, в которой отключена дефолтная учетная запись администратора, а также устранены проблемы с разрешениями.
Sonatype Nexus – интегрированная платформа управления, с помощью которой разработчики могут проксировать и управлять зависимостями Java, образами Docker, Python-пакетами и пр., а также распространять свое программное обеспечение. По данным Sonatype, менеджер Nexus используется более чем 1 тыс. организаций и 10 млн разработчиков.