Yaakov's Group | Ciberseguridad

El código fuente de Nissan se filtró en línea después de una mala configuración del repositorio de Git

Nissan supuestamente estaba ejecutando un servidor Bitbucket Git con las credenciales predeterminadas de admin / admin.

El código fuente de las aplicaciones móviles y las herramientas internas desarrolladas y utilizadas por Nissan North America se filtró en línea después de que la compañía configurara incorrectamente uno de sus servidores Git.

La filtración se originó en un servidor Git que quedó expuesto en Internet con su combinación predeterminada de nombre de usuario y contraseña de administrador / administrador, dijo Tillie Kottmann, una ingeniera de software con sede en Suiza, a ZDNet en una entrevista esta semana.

Kottmann, quien se enteró de la filtración de una fuente anónima y analizó los datos de Nissan el lunes, dijo que el repositorio de Git contenía el código fuente de:

  • Aplicaciones móviles de Nissan NA
  • algunas partes de la herramienta de diagnóstico Nissan ASIST
  • el portal de distribuidores / sistemas comerciales
  • Biblioteca móvil interna central de Nissan
  • Servicios de Nissan / Infiniti NCAR / ICAR
  • herramientas de captación y retención de clientes
  • venta / herramientas de investigación de mercado + datos
  • varias herramientas de marketing
  • el portal de logística de vehículos
  • servicios de vehículos conectados / Nissan conecta cosas
  • y varios otros backends y herramientas internas

NISSAN ESTÁ INVESTIGANDO LA FUGAS
El servidor Git, una instancia de Bitbucket, se desconectó ayer después de que los datos comenzaran a circular el lunes en forma de enlaces torrent compartidos en canales de Telegram y foros de piratería.

Contactado para hacer comentarios, un portavoz de Nissan confirmó el incidente.

«Nissan llevó a cabo una investigación inmediata sobre el acceso indebido al código fuente de la empresa. Nos tomamos este asunto en serio y estamos seguros de que no se pudo acceder a los datos personales de los consumidores, distribuidores o empleados con este incidente de seguridad. El sistema afectado se ha protegido y estamos confiado en que no hay información en el código fuente expuesto que pueda poner en riesgo a los consumidores o sus vehículos «, dijo el representante de Nissan a ZDNet en un correo electrónico.

Los investigadores suizos recibieron un consejo sobre el servidor Git de Nissan después de que encontraron un servidor GitLab igualmente mal configurado en mayo de 2020 que filtró el código fuente de varias aplicaciones y herramientas de Mercedes Benz.

Mercedes finalmente admitió la filtración, y Kottmann, que alojaba los datos filtrados, también los eliminó de su servidor a petición de la compañía.

Fuente: zdnet

Nuevas opciones de CIS para el cumplimiento de STIG

Asegurar su infraestructura de TI puede ser un desafío, especialmente si trabaja en un entorno regulado. Para ayudar a las organizaciones con este desafío, el Center for Internet Security (CIS) ofrece los puntos de referencia de CIS. Estas son pautas de configuración de seguridad basadas en consenso para numerosas tecnologías. Muchos marcos de la industria reconocen los puntos de referencia de CIS, incluida la industria de tarjetas de pago (PCI), HIPAA e incluso la Guía de requisitos de seguridad de computación en la nube (SRG) del Departamento de Defensa (DoD).

CIS continúa trabajando con una comunidad global de expertos en ciberseguridad para publicar guías nuevas y actualizadas. Nuestras últimas ofertas brindan recursos para ayudar a cumplir con los requisitos de las Guías de implementación técnica de seguridad de la Agencia de sistemas de información de defensa (DISA STIG).

Cumplimiento de las pruebas comparativas DISA STIG y CIS

La guía del SRG de Computación en la Nube del DoD indica que los puntos de referencia de CIS son una alternativa aceptable en lugar de los STIG: estándares de configuración para el aseguramiento de la información (IA) del DoD y los dispositivos / sistemas habilitados para IA. La Guía de requisitos de seguridad de computación en la nube (SRG) del DoD, versión 1, Release 3 establece:

«Nivel de impacto 2: si bien es preferible el uso de STIG y SRG por parte de los CSP, las líneas de base estándar de la industria, como las proporcionadas por los puntos de referencia del Center for Internet Security (CIS), son una alternativa aceptable a las STIG y SRG».

Aunque el DoD hace referencia específicamente a los puntos de referencia de CIS, muchas organizaciones aún deben alinearse con las STIG como estándares de configuración para los dispositivos / sistemas habilitados para DOD IA y IA.

Orientación prescriptiva de STIG de CIS
CIS ofrece recursos para configurar sistemas de acuerdo con STIG, tanto en las instalaciones como en la nube. Los recursos actuales de CIS STIG incluyen CIS Benchmarks e CIS Hardened Images para tres sistemas operativos: Red Hat Enterprise Linux (RHEL) 7, Amazon Linux 2 y Microsoft Windows Server 2016.

Los puntos de referencia CIS STIG y las imágenes reforzadas CIS asociadas contienen:

Los perfiles de nivel 1 y nivel 2 de referencia de CIS basados ​​en consenso existentes asignados a las recomendaciones de STIG aplicables.
Un nuevo perfil de Nivel 3 que incluye requisitos adicionales del STIG que no estaban cubiertos en los perfiles de Nivel 1 y Nivel 2.
Cuando los usuarios apliquen las recomendaciones de CIS Benchmarks y necesiten ser compatibles con STIG, podrán aplicar los tres perfiles y abordar rápidamente las brechas entre los perfiles de CIS Benchmark originales y los STIG. Estos puntos de referencia CIS STIG están disponibles para su descarga gratuita en PDF.

Imágenes de máquina virtual CIS STIG
Además de estos puntos de referencia de CIS STIG, CIS endurece las imágenes de máquinas virtuales según las pautas de CIS STIG Benchmark y las ofrece en los mercados de nube pública. Actualmente se encuentran disponibles tres imágenes reforzadas de CIS STIG: Red Hat Enterprise Linux (RHEL) 7, Amazon Linux 2 y Microsoft Windows Server 2016. La imagen de RHEL 7 está disponible en AWS, Azure y GCP Marketplaces. La imagen de Amazon Linux 2 está disponible en AWS Marketplace, y la imagen de Microsoft Windows Server 2016 está disponible en AWS, Azure, GCP y Oracle Cloud Marketplaces.

Acceda a las imágenes reforzadas CIS STIG:

Imágenes reforzadas de CIS Red Hat Enterprise Linux 7 STIG
Imagen STIG de RHEL 7 en AWS
Imagen STIG de RHEL 7 en Azure
Imagen STIG de RHEL 7 en GCP
Imagen reforzada de CIS Amazon Linux 2 STIG en AWS
Imágenes reforzadas STIG de CIS Microsoft Windows Server 2016
Imagen STIG de Windows Server 2016 en AWS
Imagen STIG de Windows Server 2016 en Azure
Imagen STIG de Windows Server 2016 en GCP
Imagen STIG de Windows Server 2016 en Oracle Cloud
Cada imagen reforzada de CIS incluye un informe CIS-CAT Pro que muestra la conformidad con el CIS Benchmark relacionado. Se incluye un informe de excepción que describe las configuraciones que no son aplicables en un entorno de nube. Cada imagen reforzada de CIS se actualiza mensualmente para abordar los parches y las vulnerabilidades.

CIS se enorgullece de ofrecer CIS Benchmarks e CIS Hardened Images para ayudar a las organizaciones del sector público a proteger sus entornos locales y en la nube.

Fuente: CIS