Внутреннее тестирование, демонстрации продуктов и обучение по вопросам безопасности являются критически важными практиками в сфере кибербезопасности, предоставляя защитникам и обычным пользователям инструменты и возможности для предотвращения корпоративных угроз и реагирования на них.
Однако, согласно новому исследованию Pentera Labs, если эти «тестовые» и «демонстрационные» среды остаются в настройках по умолчанию или неправильно сконфигурированы, они становятся еще одной точкой входа для злоумышленников — и эта проблема затрагивает даже ведущие компании в области безопасности и компании из списка Fortune 500, которые должны знать лучше.
Исследователи обнаружили, что популярные общедоступные обучающие приложения, такие как Hackazon, Damn Vulnerable Web Application (DVWA) и OWASP Juice Shop, часто остаются открытыми для публичного интернета, непреднамеренно подвергая риску ведущих поставщиков, включая Palo Alto Networks, Cloudflare и F5.
«Это не теоретическое исследование», — написал Ноам Яффе, старший исследователь Pentera и руководитель команды по наступательной безопасности, в техническом блоге. Его команда обнаружила «явные свидетельства» того, что эти векторы атак используются в реальных условиях для внедрения майнеров криптовалют, веб-шеллов и механизмов сохранения присутствия. Предполагается, что злоумышленники имеют восточноевропейское происхождение.
«Это исследование доказывает, что обозначение чего-либо как „обучающее“ или „разработческое“ не делает его невидимым для атакующих», — отметил Яффе. «Если это в интернете и имеет облачные учетные данные, это цель».
Обнаружение «сокровищницы» через кажущиеся безвредными лаборатории
Обнаружив открытый экземпляр Hackazon, бесплатного, намеренно уязвимого тестового сайта, разработанного Deloitte, в ходе плановой оценки безопасности облака для клиента, Яффе предпринял пятиэтапный поиск открытых приложений. Его команда обнаружила 1926 «проверенных, активных и уязвимых приложений», более половины из которых работали на инфраструктуре, принадлежащей предприятиям, на платформах AWS, Azure и Google Cloud.
Затем они обнаружили 109 наборов учетных данных, многие из которых были доступны через среду лаборатории с низким приоритетом, связанные с избыточно привилегированными ролями управления доступом к идентификационным данным (IAM). Как пояснил Яффе, они часто предоставляли «гораздо больший доступ», чем должно было предоставлять обучающее приложение, и давали злоумышленникам:
- Доступ уровня администратора к облачным учетным записям, а также полный доступ к корзинам S3, GCS и Azure Blob Storage;
- Возможность запускать и уничтожать вычислительные ресурсы, а также читать и записывать данные в менеджеры секретов;
- Разрешения на взаимодействие с реестрами контейнеров, где хранятся, распространяются и развертываются образы.
Злоумышленники поддерживали постоянный доступ, перемещались по сетям, использовали облачные учетные данные и другую конфиденциальную информацию, а также занимались майнингом криптовалют на инфраструктуре жертв. Более того, исследователи Pentera легко обнаружили активные секреты, такие как ключи Slack, токены GitHub и учетные данные Docker Hub, а также реальные пользовательские данные и проприетарный исходный код.
Тревожно, но в DVWA 54% обнаруженных экземпляров все еще использовали учетные данные по умолчанию «admin:password», и злоумышленники могли понизить настройки безопасности одним кликом (с «невозможно» до «низкий»), делая каждую встроенную уязвимость «тривиально эксплуатируемой», отметил Яффе.
«То, что начиналось как безвредная лаборатория, могло привести напрямую к „сокровищнице“ организации», — сказал он.
Эксплуатация в реальном мире
В одном из реальных случаев команда Pentera обнаружила неправильно сконфигурированное уязвимое веб-приложение (bWAPP), связанное с облачными учетными записями Cloudflare, работающее на Google Cloud Platform (GCP). bWAPP — это бесплатное, открытое, намеренно небезопасное веб-приложение, используемое для обучения. Запросив метаданные служб GCP, исследователи смогли выдавать себя за учетные записи служб по умолчанию и получить доступ на чтение к «сотням» корзин хранения.
Аналогичным образом, экземпляр DVWA, связанный с облачными учетными записями F5, был обнаружен работающим на GCP, что снова позволило исследователям получить доступ к многочисленным корзинам хранения, содержащим журналы и данные метрик. Кроме того, было обнаружено приложение DVWA, связанное с Palo Alto и неправильно сконфигурированное, работающее на AWS; Яффе и его команда использовали прикрепленную роль IAM и временные учетные данные для получения полного административного доступа к учетной записи AWS.
Исследователи также эксфильтрировали токены OAuth для учетной записи службы GCP, чтобы принять ее личность и перечислить и получить доступ к содержимому конкретных корзин. Например, в одной корзине «cloud_build» хранились файлы .tgz, которые злоумышленники могли легко загрузить. Учетной записью управлял административный адрес электронной почты, и она нарушала принцип наименьших привилегий, поскольку содержала политическое разрешение, объяснил Яффе.
«Несмотря на то, что это была учетная запись „dev“/„training“, она содержала высокочувствительные секреты, учетные данные и токены API», — сказал он.
Оценивая эти неправильно сконфигурированные, уязвимые приложения, его команда обнаружила «явные свидетельства» того, что они уже активно эксплуатируются в реальном мире. Примерно в 20% обнаруженных экземпляров DVWA содержались артефакты, развернутые вредоносными акторами, в том числе:
- Активно работающий XMRig Crypto Miner, отправляющий доходы на кошельки, контролируемые злоумышленниками, и настроенный на бесшумную работу без ведома пользователя;
- «Сложный» скрипт-наблюдатель (watchdog), который поддерживал постоянное присутствие даже после обнаружения компрометации. Он включал самовосстановление, автоматическую загрузку, зашифрованную доставку полезной нагрузки, удаление улик и аварийные выключатели, которые злоумышленники могли использовать для легкого прекращения операций;
- PHP веб-шелл, который предоставлял злоумышленникам возможность читать, записывать, удалять, загружать и скачивать файлы; запускать команды операционной системы (ОС) и скрипты на удаленных машинах; а также получать доступ к учетным данным, ключам API и другим секретам, внедренным в исходный код.
Все обнаруженные сведения были ответственно раскрыты затронутым организациям и впоследствии устранены до публикации, подчеркнул Яффе.
«Это не были изолированные инциденты; они представляли собой организованную, продолжающуюся кампанию эксплуатации», — предупредил он.
Что предприятия могут сделать сейчас
Для защиты от этой широко распространенной угрозы Яффе и его команда разработали SigInt — автономный фреймворк для разведки на основе Python и больших языковых моделей (LLM). Этот инструмент, доступный на GitHub, генерирует сигнатуры отпечатков непосредственно из активной цели или репозитория GitHub, ищет совпадения и применяет оценку достоверности. Он также включает интеллектуальную информацию об IP-адресах, обнаружение облачных провайдеров, данные атрибуции и предоставляет анализ для поддержки дальнейшего расследования.
Помимо этого, Яффе посоветовал предприятиям «провести инвентаризацию всего», чтобы составить полную, актуальную картину всех облачных ресурсов, включая «временные» и «тестовые развертывания», проводить регулярные аудиты для поиска открытых служб и применять принцип наименьших привилегий.
«Никогда не прикрепляйте широкие роли IAM к обучающим или демонстрационным средам», — сказал он.
Кроме того, защитникам следует изолировать учебные среды от производственных сетей и применять к ним такой же мониторинг и оповещение, как и к производственным средам, ограничивать их исходящий доступ в интернет, документировать и обеспечивать соблюдение изменений в учетных данных по умолчанию до развертывания, а также устанавливать механизмы, которые приводят к истечению срока действия временных тестовых сред по истечении указанного периода. «Если у этого нет конечной даты, оно будет работать вечно», — отметил Яффе.
В конечном счете, он подчеркнул: «Это решаемые проблемы. Базовая гигиена… предотвратила бы каждый случай, который мы обнаружили».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Taryn Plumb
