Контакты
Подписка 2023
МЕНЮ
Контакты
Подписка

99% облачных ресурсов предоставляют чрезмерные разрешения

18/04/22

cloud hack-2Команда исследователей Palo Alto Unit 42 пришла к выводу, что облачные пользователи, роли, службы и ресурсы предоставляют чрезмерные разрешения, подвергая организации риску компрометации.

По словам экспертов, неправильно настроенное управление идентификацией и доступом (IAM) открывает двери для злоумышленников, нацеленным на облачную инфраструктуру и учетные данные.

Исследователи Unit 42 проанализировали более 680 тыс. удостоверений в 18 тыс. облачных учетных записях и более чем 200 различных организациях с целью понять их конфигурации и модели использования. Как оказалось, 99% облачных пользователей, ролей, сервисов и ресурсов предоставили «чрезмерные разрешения», которые не использовались в течение 60 дней. Хакеры могут использовать такие разрешения для перемещения по сети жертвы и расширения радиуса атаки.

Неиспользуемых или избыточных разрешений во встроенных политиках безопасности контента (CSP) было в два раза больше, чем в политиках, созданных клиентами.

«Удаление этих разрешений может значительно снизить риск, которому подвергается каждый облачный ресурс, и свести к минимуму поверхность атаки для всей облачной среды», — отметили эксперты.

Неправильные настройки являются причиной 65% обнаруженных киберинцидентов в облаке, в то время как 53% проанализированных облачных учетных записи использовали ненадежный пароль, а 44% — повторно использовали пароли. Более того, почти две трети (62%) организаций имеют общедоступные облачные ресурсы.

Команда Unit 42 обнаружила и идентифицировала пять киберпреступных группировок, использующих уникальные методы для непосредственного нападения на платформы облачных сервисов.

  • TeamTNT — самая опасная угроза с точки зрения методов подсчета облачных идентификаторов. Операции группировки включают перемещение внутри кластеров Kubernetes, создание ботнетов IRC и захват скомпрометированных ресурсов облачной рабочей нагрузки для майнинга криптовалюты Monero.
  • WatchDog — использует специально созданные скрипты на языке Go, а также перепрофилированные скрипты криптоджекинга от других группировок (включая TeamTNT) и представляет собой угрозу, нацеленную на открытые облачные экземпляры и приложения.
  • Kinsing — группировка, нацеленная на сбор облачных учетных данных, открытые API-интерфейсы Docker Daemon с использованием вредоносных процессов на основе GoLang в контейнерах Ubuntu.
  • Rocke — специализируется на операциях с программами-вымогателями и криптоджекингом в облачных средах и известна тем, что использует вычислительную мощность скомпрометированных систем на базе Linux, обычно размещенных в облачной инфраструктуре.
  • 8220 — группировка использует инструменты PwnRig или DBUsed, которые представляют собой варианты программного обеспечения для майнинга XMRig Monero. Считается, что группировка возникла из форка GitHub программного обеспечения группировки Rocke.
Темы:Облачные технологииУгрозыPalo Alto Unit 47
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...