นักวิจัยด้านความปลอดภัยจาก Palo Alto Networks ค้นพบผู้ไม่หวังดีที่ใช้ประโยชน์จากช่องโหว่ในสภาพแวดล้อมคลาวด์ที่ตั้งค่าไว้ไม่ถูกต้อง เพื่อลักลอบเข้าถึงและรีดไถองค์กรต่าง ๆ หลังจากที่สามารถเข้าถึงตัวแปรสภาพแวดล้อมที่ถูกเปิดเผยโดยไม่ได้ตั้งใจ
นักวิจัยด้านความปลอดภัยจาก Palo Alto Networks พบเห็นผู้ไม่หวังดีรีดไถองค์กรต่าง ๆ หลังจากเข้าถึงสภาพแวดล้อมคลาวด์ขององค์กรเหล่านั้นผ่านตัวแปรสภาพแวดล้อมที่ถูกเปิดเผยโดยไม่ได้ตั้งใจ
ในแคมเปญรีดไถขนาดใหญ่ครั้งนี้ Palo Alto Networks เตือนว่า ผู้โจมตีได้พุ่งเป้าหมายไปที่โดเมนกว่า 110,000 โดเมนผ่านไฟล์ .env ที่ถูกเปิดเผย ซึ่งไฟล์เหล่านี้มีข้อมูลที่สำคัญและถูกจัดเก็บไว้บนแอปพลิเคชันเว็บที่ไม่มีการรักษาความปลอดภัยอย่างเพียงพอหรือเซิร์ฟเวอร์ที่มีการตั้งค่าผิดพลาด
ไฟล์ .env ช่วยให้องค์กรสามารถกำหนดตัวแปรการตั้งค่าสำหรับแอปพลิเคชันเว็บของตนได้ และมักจะมีคีย์การเข้าถึงคลาวด์ที่ถูกฮาร์ดโค้ดไว้ คีย์ API สำหรับ SaaS และข้อมูลการเข้าสู่ระบบของฐานข้อมูล
การที่องค์กรไม่ได้ป้องกันไฟล์เหล่านี้อย่างเหมาะสม ทำให้ผู้โจมตีสามารถดึงคีย์การเข้าถึง AWS Identity and Access Management (IAM) และใช้เพื่อเข้าถึงสภาพแวดล้อมคลาวด์ขององค์กรได้
Palo Alto Networks ระบุว่าพบตัวแปรที่ไม่ซ้ำกันมากกว่า 90,000 รายการในไฟล์ .env ที่ถูกเปิดเผย ซึ่งรวมถึง 7,000 รายการที่เป็นของบริการคลาวด์ขององค์กร และ 1,500 รายการสำหรับบัญชีโซเชียลมีเดีย ข้อมูลรับรองสำหรับแอปพลิเคชันที่ติดตั้งภายในองค์กรก็ถูกเปิดเผยเช่นกัน
ปัจจัยหลายประการส่งผลให้การโจมตีเหล่านี้สำเร็จ รวมถึงการตั้งค่าที่ผิดพลาดทำให้ตัวแปรสภาพแวดล้อมถูกเปิดเผย การใช้ข้อมูลรับรองที่มีอายุการใช้งานยาวนาน และการขาดนโยบายสิทธิ์ต่ำสุด
ผู้โจมตีใช้โครงสร้างพื้นฐานที่ใช้ Tor ในการสอดแนมและเข้าถึงข้อมูลในเบื้องต้น ใช้ VPN สำหรับการเคลื่อนไหวด้านข้าง (lateral movement) และการดึงข้อมูลออกมา และใช้เซิร์ฟเวอร์ส่วนตัวเสมือน (VPS) สำหรับปฏิบัติการอื่น ๆ
“แคมเปญนี้มีการโจมตีด้วยการเรียกค่าไถ่ข้อมูลที่ถูกจัดเก็บในคลาวด์ แต่ผู้โจมตีไม่ได้เข้ารหัสข้อมูลก่อนเรียกค่าไถ่ แต่ใช้วิธีการดึงข้อมูลออกมาแล้ววางหมายเหตุค่าไถ่ในพื้นที่จัดเก็บคลาวด์ที่ถูกเจาะ” บริษัทวิจัยกล่าว
ผู้โจมตีน่าจะใช้ระบบอัตโนมัติในการดำเนินการอย่างรวดเร็วและสำเร็จ และพวกเขาโจมตีเฉพาะไฟล์ .env ที่ถูกเปิดเผยโดยไม่ได้ตั้งใจ แทนที่จะโจมตีช่องโหว่หรือการตั้งค่าผิดพลาดในบริการคลาวด์
Palo Alto Networks พบว่าผู้โจมตีทำการสแกนและระบุไฟล์ .env ที่ถูกเปิดเผย และดำเนินการเรียก API เพื่อค้นหาบริการต่าง ๆ เช่น IAM, Security Token Service (STS), Simple Storage Service (S3) และ Simple Email Service (SES)
“เราได้พบว่าผู้โจมตีพุ่งเป้าหมายไปที่บริการเหล่านี้ในขณะที่พวกเขากำลังพยายามขยายการควบคุมสภาพแวดล้อมคลาวด์ขององค์กร” บริษัทกล่าวเสริม
ผู้โจมตีถูกพบว่ากำลังใช้บทบาท IAM ที่เข้าถึงในเบื้องต้นเพื่อสร้างทรัพยากร IAM ใหม่ที่มีสิทธิ์เข้าถึงไม่จำกัดและเพิ่มระดับสิทธิ์ภายในสภาพแวดล้อมคลาวด์ของเหยื่อ พวกเขายังพยายามสร้างทรัพยากรใหม่สำหรับการขุดคริปโต แต่ล้มเหลว
อย่างไรก็ตาม พวกเขาสามารถย้ายไปยังบริการ AWS Lambda และสร้างฟังก์ชัน Lambda ที่เป็นอันตรายเพื่อทำการสแกนโดเมนและที่อยู่ IP หลายล้านแห่งบนอินเทอร์เน็ต โดยดึงรายชื่อเป้าหมายที่เป็นไปได้จากถัง S3 ของบุคคลที่สามที่สามารถเข้าถึงได้แบบสาธารณะซึ่งถูกโฮสต์ในสภาพแวดล้อมคลาวด์ที่ถูกเจาะ
“เราได้ระบุเป้าหมายที่ไม่ซ้ำกันมากกว่า 230 ล้านรายการที่ผู้โจมตีกำลังสแกนหาตัวแปรสภาพแวดล้อมที่ถูกเปิดเผย” บริษัทกล่าว
การสแกนมุ่งเป้าไปที่ไฟล์ตัวแปรสภาพแวดล้อมที่ถูกเปิดเผย ดึงข้อมูลเหล่านั้นออกมา สกัดข้อมูลรับรองที่อยู่ในไฟล์ และจัดเก็บในถัง S3 ที่ถูกควบคุมโดยผู้โจมตี
การวิเคราะห์ถัง S3 แสดงให้เห็นว่า “ผู้โจมตีสามารถคัดลอกไฟล์ .env ที่ถูกเปิดเผยจากโดเมนอย่างน้อย 110,000 โดเมน” Palo Alto Networks กล่าวเสริม
เพื่อป้องกันการโจมตีประเภทนี้ องค์กรควรใช้ข้อมูลรับรองชั่วคราว ซึ่งจำกัดเวลาที่ผู้โจมตีจะสามารถเข้าถึงบัญชีที่ถูกเจาะ ควรใช้นโยบายสิทธิ์ต่ำสุดสำหรับทรัพยากร IAM ปิดใช้งานทรัพยากรที่ไม่ได้ใช้ในบัญชี AWS และเปิดใช้งานการบันทึกและตรวจสอบทรัพยากร\
Credit:securityweek.com
