Már bányásznak is a lecsupaszított rendszereken
Egy automatizált penetrációteszteléssel foglalkozó cég, a Pentera közel 2000 nyilvánosan elérhető, sebezhető alkalmazást talált, amelyeket sokszor a túlzott jogosultságokkal rendelkező felhőfiókokkal kapcsoltak össze. Az ilyen hibák a világ legnagyobb cégeit érintették, köztük olyan neveket is, mint a Cloudflare, az F5 és a Palo Alto Networks. Ezek a cégek a figyelmeztetés után kijavították a hibákat, de a jelenség továbbra is széles körű.
Sok esetben a rendszergazdák a biztonsági alapelveket sem tartották be: gyakran maradtak alapértelmezett belépési adatok, és nem érvényesült a minimális jogosultság elve sem. Az ilyen hozzáférésekkel a támadók akár teljes jogosultságot is szerezhetnek S3-, GCS- vagy Azure Blob Storage-fiókokhoz, titkos adatokhoz vagy konténerregiszterekhez.
Hackerek már akcióban
A Pentera nemcsak elméleti kockázatot látott: a vizsgálat során világos bizonyítékok kerültek elő aktív támadásokra. A sebezhető alkalmazásokba már telepítettek kriptovaluta-bányászokat (pl. XMRiggel Monerót termeltek), webshelleket, illetve olyan perzisztens rosszindulatú kódokat, amelyek önmagukat is helyreállították törlés után. Például a „watchdog.sh” nevű szkript, ha eltávolították, azonnal visszaállította önmagát, leszedte a bányászprogramot a GitHubról, és AES-256-tal titkosított további eszközöket is letöltött. A támadók még azt is megoldották, hogy egymás bányászprogramjait eltüntették a gépekről.
Egy másik megoldással PHP-s webshellt (filemanager.php) telepítettek, amely teljes körű hozzáférést adott a támadónak, ráadásul eleve beégetett belépési adatokkal és a Europe/Minsk (UTC+3) időzónájával, ami utalhat a támadó helyére.
Hogyan lehet védekezni?
A Pentera szerint minden vállalatnak pontosan fel kell mérnie a felhőben is használt összes erőforrást – ideértve a tesztalkalmazásokat –, és szigorúan el kell azokat választani az éles rendszerektől. Kiemelten fontos a minimális jogosultság betartása, az alapértelmezett jelszavak mielőbbi megváltoztatása és az időzített törlés beállítása az ideiglenes erőforrásokra. Mindez nem elméleti tanács: a mostani támadási hullám azt mutatja, hogy az elmaradt karbantartás súlyos anyagi és adatvédelmi következményekhez vezethet.
