Некорректно настроенные приложения Django раскрывают секретные ключи API

Исследователи безопасности обнаружили ряд некорректно настроенных приложений Django, раскрывающих конфиденциальную информацию, такую как ключи API, пароли сервера или токены доступа AWS (Amazon Web Services).

Основная причина данной проблемы заключается в том, что разработчики приложений забывают отключить режим отладки, пояснил исследователь безопасности Фабио Кастро (Fábio Castro) изданию Bleeping Computer.

Django, который является мощным и настраиваемым фреймворком на Python, часто используется при создании web-приложений и внутренних сетей.

По словам исследователя, ему удалось обнаружить 28 165 приложений Django, в которых администраторы забыли отключить режим отладки. При проверке нескольких серверов, исследователь обнаружил, что режим отладки многих из этих приложений раскрывает чрезвычайно важную информацию, позволяющую потенциальному злоумышленнику получить полный доступ к данным владельца приложения. Пароли баз данных и токены доступа AWS в некоторых случаях также содержат информацию о других частях ИТ-инфраструктуры владельца приложения.

Как сообщил исследователь безопасности Виктор Геверс (Victor Gevers), некоторые серверы, на которых запущены приложения Django, уже скомпрометированы. В частности, эксперт обнаружил по меньшей мере один взломанный сервер. Некоторые уязвимые серверы принадлежат различным правительственным учреждениям, выполняющим критические операции.

Исследователь уже начал уведомлять владельцев серверов о некорректно настроенных приложениях. «На данный момент мы сообщили о 1 822 серверах. Из них в 143 проблема была исправлена, либо они были переведены в автономный режим», - отметил он.

Источник