Yandex Cloud открыла общий доступ к сканеру уязвимостей

Yandex Cloud открыла общий доступ к сканеру уязвимостей

Yandex Cloud открыла общий доступ к сканеру уязвимостей

Облачная платформа Yandex Cloud открыла общий доступ к своему сканеру уязвимостей Vulnerability Scanner. Он позволяет оценивать и улучшать уровень безопасности при разработке ИТ-проектов в облаке. Первые 6 сканов дают бесплатно.

Сканер является частью сервиса для управления контейнерными образами Yandex Container Registry и настраивается с помощью веб-интерфейса, говорится в сообщении компании. 

Это позволит специалистам по ИБ и DevOps не тратить время на настройку и поддержку продукта, за это отвечает Yandex Cloud.

Технология проверяет на уязвимости образы, в которых содержатся компоненты и зависимости, необходимые для корректной работы приложений. Затем происходит сравнение содержимого выбранного образа с крупнейшими общеизвестными базами уязвимостей. В итоге пользователь получает подробный отчет с найденными проблемами безопасности и возможными исправлениями.

Пользователи могут и сами настроить Vulnerability Scanner. Например, включить автоматический режим сканирования для всех новых образов. Также можно выбрать тип сканирования — использовать функцию для целого реестра или отдельных репозиториев.

В будущем появится возможность включать Vulnerability Scanner по расписанию, добавили в пресс-службе.

“Значимое количество наших пользователей разрабатывают приложения на облачной платформе, чтобы сокращать time-to-market и облегчать организацию разработки, — говорит директор по продуктам Yandex Cloud Григорий Атрепьев. — Появление сканера уязвимостей внутри Yandex Cloud позволит эффективнее выстраивать DevSecOps — практики безопасной разработки”.

Первые 6 сканирований с помощью Vulnerability Scanner бесплатны. Каждое последующее будет стоить 13 рублей. Сканер можно встраивать в пайплайн разработки в рамках сервиса для управления DevOps-платформой Yandex Managed Service for GitLab. Это поможет усилить встроенные в сервис функции безопасности, говорят разработчики.

По статистике базы данных уязвимостей Vulners, в среднем в день появляется более 70 новых уязвимостей. По данным Национального института стандартов и технологий США NIST, в 2022 году был установлен антирекорд — верифицировано 25 тысяч новых уязвимостей.

Из последних новостей — Google устранила уязвимость Cloud Platform (GCP), которая в той или иной степени затрагивала всех пользователей. С помощью этой бреши злоумышленники могли пробэкдорить аккаунты через вредоносные OAuth-приложения.

Игроки Minecraft могут стать участниками DDoS-атаки через плагин скинов

Обычная попытка поиграть на пиратских серверах Minecraft неожиданно закончилась исследованием потенциальной уязвимости. Пользователь Хабра под ником Fir3wall1 рассказал, что во время анализа популярного плагина Skins Restorer обнаружил механизм, который теоретически может использоваться для организации распределенных атак на сторонние сайты.

Плагин Skins Restorer широко применяется на пиратских серверах для смены внешнего вида персонажей.

Исследователь обратил внимание, что при загрузке скина игровой клиент самостоятельно обращается по указанному адресу, а сервер лишь передает ссылку, практически не проверяя ее содержимое.

 

По словам автора, именно эта особенность позволяет заставить большое количество игровых клиентов одновременно обращаться к одному и тому же веб-ресурсу. В результате игровой сервер фактически превращается в центр управления, а подключенные игроки — в источник сетевого трафика.

Чтобы оценить масштаб проблемы, исследователь совместно с владельцем фермы игровых ботов провел контролируемый эксперимент на собственном тестовом сервере. В первом сценарии нагрузка оказалась заметной, но не критичной. Во втором, при существенно большем количестве подключений, тестовый веб-сервер перестал отвечать на запросы.

Автор подчеркивает, что речь не идет об угрозе для крупных интернет-компаний с развитой инфраструктурой и средствами защиты. Однако небольшие сайты и сервисы без CDN, WAF и других механизмов фильтрации могут оказаться более уязвимыми.

По мнению исследователя, проблема связана не столько с самим Minecraft, сколько с архитектурными особенностями плагина, который не ограничивает адреса, к которым могут обращаться игровые клиенты при загрузке скинов.

Если выводы автора подтвердятся, это станет еще одним примером того, как безобидная игровая функция может неожиданно превратиться в инструмент для злоупотреблений. При этом сама публикация служит напоминанием разработчикам плагинов: даже вспомогательные механизмы требуют тщательной проверки с точки зрения безопасности.

RSS: Новости на портале Anti-Malware.ru