99% af cloud-identiteter åbner alt fornemt for hackere

Palo Alto Unit 42-rapporten fremhæver fem trusselsgrupper, der er målrettede mod cloud-infrastruktur og afslører deres legitimationsfokuserede hackermetoder.

Næsten alle cloud-brugere, roller, tjenester og ressourcer giver nemt tilladelser, hvilket efterlader organisationer sårbare over for hackere i tilfælde af kompromis, har en ny rapport fra Palo Altos enhed 42 afsløret. Sikkerhedsleverandørens forskning opdagede, at forkert konfigureret identitets- og adgangsstyring (IAM) åbner for hackere, der er målrettede mod cloud-infrastruktur og legitimationsoplysninger i deres angreb.

Resultaterne tyder på, at når det kommer til IAM i cloud’en, kæmper organisationer for at få god processtyring på plads. Rapporten identificerer også fem hackergrupper, der er blevet opdaget aktive mod cloud-miljøer og afslører deres angrebsmetoder.

99% af cloud-identificerede er for lette at åbne

I Identity and Access Management: analyserede Unit 42-analytikere mere end 680.000 identiteter på tværs af 18.000 cloud-konti og over 200 forskellige organisationer for at forstå deres konfigurationer og brugsmønstre. Det afslørede, at 99% af cloud-brugerne, rollerne, tjenesterne og ressourcerne gav “for mange tilladelser”, der blev efterladt ubrugte i 60 dage. Hackere, der kompromitterer disse identiteter, kan udnytte sådanne tilladelser til at bevæge sig sideværts eller lodret og udvide angrebsradiusen, lyder det i rapporten.

Data fra enhed 42 viste, at der var to gange flere ubrugte eller for mange tilladelser inden for indbyggede indholdssikkerhedspolitikker (CSP’er) sammenlignet med kundeoprettede politikker. “Fjernelse af disse tilladelser kan reducere den risiko, som hver cloudressource udsætter, betydeligt og minimere angrebsoverfladen i hele skymiljøet.” Men, cloud-sikkerhed bliver hæmmet af dårligt implementeret IAM og legitimationsstyring, rapporten hedder det.

Enhed 42 sagde, at fejlkonfigurationer står bag 65% af de opdagede cloud-sikkerhedshændelser, mens 53% af de analyserede cloud-konti tillod svag adgangskodebrug og 44% tilladt genbrug af adgangskode, lød det i rapporten. Hvad mere er, næsten to tredjedele (62%) af organisationerne havde cloud-ressourcer offentligt eksponeret. “Fejlkonfigurationer inden for identitetsbruger-, rolle- eller gruppepolitikkerne inden for en cloud-platform kan øge trusselslandskabet i en organisations skyarkitektur betydeligt,” og det er vektorer, som modstandere konstant søger at udnytte, sagde enhed 42. “Alle de cloud-trusselsaktører, som vi identificerede, forsøgte at høste cloud-legitimationsoplysninger, når de kompromitterede en server, container eller bærbar computer. En lækket legitimationsoplysninger med overdrevne tilladelser kunne give angribere en nøgle til kongeriget.

Enhed 42 identificerer fem angrebsgrupper rettet mod cloudinfrastruktur

Enhed 42 opdagede og identificerede fem trusselsaktører, der udnyttede unikke eskaleringsteknikker og indsamlede legitimationsoplysninger til direkte at målrette mod cloudtjenesteplatforme. Af dem udførte tre containerspecifikke handlinger, herunder tilladelsesregistrering og opdagelse af containerressourcer, to udførte containerflugtsoperationer og alle fem indsamlede legitimationsoplysninger til cloudtjeneste eller containerplatform som en del af deres driftsprocedurer. De er:

  • TeamTNT: Denne gruppe betragtes som den mest sofistikerede cloud-trusselsaktør med hensyn til teknikker til opregning af cloudidentitet, og denne gruppes operationer omfatter lateral bevægelse inden for Kubernetes-klynger, etablering af IRC-botnet og kapring af kompromitterede ressourcer til cloudarbejdsbelastninger for at udvinde Monero-kryptovalutaen.
  • WatchDog: Selvom det er teknisk dygtigt, er denne gruppe villig til at ofre færdigheder for nem adgang, sagde enhed 42. Det bruger specialbyggede Go-scripts samt repurposed cryptojacking-scripts fra andre grupper (herunder TeamTNT) og er en opportunistisk trusselsgruppe, der er målrettede mod eksponerede skyforekomster og applikationer.
  • Kinsing: En anden opportunistisk cloud-trusselsaktør med stort potentiale for indsamling af cloud-legitimationsoplysninger, denne gruppe er målrettet mod eksponerede Docker Daemon API’er ved hjælp af GoLang-baserede ondsindede processer, der kører på Ubuntu-containere og er begyndt at udvide deres operationer uden for Docker-containerbeholdere, specifikt rettet mod container- og cloud-legitimationsfiler indeholdt på kompromitterede cloud-arbejdsbelastninger.
  • Rocke: Rocke er en “oldtimer” gruppe, der øger cloud-slutpunktsopregningsteknikker, og har specialiseret sig i ransomware- og cryptojacking-operationer inden for skymiljøer og er kendt for at bruge computerkraften i kompromitterede Linux-baserede systemer, typisk hostet inden for skyinfrastruktur.
  • 8220: Rockes fætter, denne gruppe vedtager containere i sit målsæt. Værktøjer, der almindeligvis anvendes under deres operationer, er PwnRig eller DBUsed, som er tilpassede varianter af XMRig Monero minedrift software. Gruppen menes at stamme fra en GitHub-gaffel af Rocke-gruppens software.

IAM fejlkonfigurationer et fælles indgangspunkt

Enhed 42 rådede organisationer til at løse IAM-sårbarheder for at sikre deres skyinfrastrukturer. “Korrekt konfigureret IAM kan blokere utilsigtet adgang, give synlighed i skyaktiviteter og reducere virkningen, når sikkerhedshændelser sker,” hedder det. “Det er imidlertid en udfordring at opretholde IAM i den sikreste tilstand på grund af dens dynamiske karakter og kompleksitet. Historisk set har IAM-fejlkonfigurationer været det indgangspunkt og omdrejningspunkt, cyberkriminelle oftest udnytter.

For at hjælpe med at forsvare skymiljøer mod hackere siger enhed 42, at organisationer skal implementere cloud-native applikationsbeskyttelsesplatforme (CNAPP), fokusere på hærdning af IAM-tilladelser og øge sikkerhedsautomatiseringen.

Kilde: CSOonline

 

Scroll til toppen