Palo Alto expõe configurações de nuvem multimilionárias

Views: 126
0 0
Read Time:4 Minute, 49 Second

A equipe de caça a ameaças da Unidade 42 da Palo Alto Networks descobriu duas configurações críticas da Amazon Web Services (AWS) em um ambiente de clientes em menos de uma semana que, se exploradas por hackers,teriam levado a uma violação de dados que custou aos clientes dezenas de milhões de dólares.

“Sendo bons pesquisadores pensamos, OK, talvez este seja apenas um incidente isolado”, disse Matt Chiodi, chefe de segurança da nuvem pública da Palo Alto Networks. “Saímos e fizemos uma operação de reconhecimento usando o GitHub, e extraímos esses dados públicos. E encontramos milhares e milhares de outras contas que eram suscetíveis ao mesmo tipo de configurações de identidade. Então sabemos que não é só um problema isolado. Este é um problema generalizado na nuvem.”

Os pesquisadores de ameaças da Palo Alto Networks discutem esse problema do gerenciamento de identidade e acesso (IAM) na nuvem do Relatório de Ameaças em Nuvem da Unidade 42,divulgado hoje. A equipe da Unidade 42 produz esses relatórios duas vezes por ano. Mas eles geralmente não fazem exercícios de equipe vermelha para simular um ataque ao ambiente de nuvem de um cliente porque a Unidade 42 é uma organização de pesquisa.

“Mas, neste caso, estávamos particularmente interessados porque o ambiente desse cliente era tão massivamente dimensionado. Esse cliente é um grande provedor de SAS”, disse Chiodi. “O que encontramos durante esse exercício da equipe vermelha onde essencialmente atacamos seu ambiente, descobrimos duas configurações erradas críticas da AWS — são configurações erradas do cliente, que injetaram em seu próprio ambiente equivocadamente — específicas da identidade que poderia ter levado a uma violação de dados multimilionária. É por isso que é tão importante, e por isso praticamente fizemos um relatório inteiro sobre esta questão.”

É importante notar que atores mal-intencionados não exploraram essas configurações erradas do IAM, e a Palo Alto Networks ajudou o cliente a remediar os problemas.

Exercício do Red Team da Unity 42

No entanto, os dados do GitHub enfatizam a gravidade dessas configurações erradas. Ele, combinado com outras fontes, “revelou mais de 175.000 instantâneos EC2, centenas de baldes S3 e muitos instantâneos RDS e chaves KMS”, disse o relatório. “Não se enganem: se os invasores tivessem descoberto o que os pesquisadores da Unidade 42 encontraram, eles certamente teriam tomado medidas para ‘possuir’ essas contas na nuvem.”

Durante o exercício da equipe vermelha, os pesquisadores da Unidade 42 exploraram a política de confiança de papel do IAM desconfigurada “AssumeRole” e obtiveram acesso a recursos sensíveis. Isso pode resultar em uma série de ataques diferentes contra uma organização, incluindo negação de serviço (DoS), ransomware e ameaças persistentes avançadas (APT).

Os pesquisadores também se moveram lateralmente com acesso não-administrador, explorando uma função IAM mal configurada relacionada ao gerenciamento de fluxo-log. Eles então intensificaram seus privilégios para obter acesso administrativo a todo o ambiente de nuvem. Isso permitiu que eles fizessem coisas como criar novas instâncias do Amazon Elastic Compute Cloud (EC2) e do Relational Database Service (RDS) e modificar as permissões de usuários e políticas. Os atacantes podem explorar essa configuração errada para roubar dados confidenciais, eliminar a infraestrutura ou fechar uma operação com ransomware.

“Portanto, há várias maneiras diferentes de que um invasor pode abusar desse tipo de acesso desconfigurado”, disse Chiodi.

Configurações erradas assolam os negócios

A pesquisa anterior da Unidade 42 constatou que 65% dos incidentes de segurança na nuvem foram devido a simples configurações erradas. Além disso, o relatório anual de ameaças da IBM X Force, publicado em fevereiro, constatou que dos mais de 8,5 bilhões de registros violados em 2019, 7 milhões deles foram devido a servidores em nuvem mal configurados e outros sistemas configurados incorretamente.

A Agência Nacional de Segurança (NSA) diz que a configuração indevida de recursos continua sendo a vulnerabilidade em nuvem mais prevalente.

As configurações em nuvem continuam a atormentar os negócios, e elas representam um risco especialmente alto para as empresas, porque se uma brecha ocorre devido a uma má configuração, é a culpa da empresa — não do provedor de nuvem—.

Provedores como a AWS e o Microsoft Azure são responsáveis por proteger sua infraestrutura de nuvem pública e implementar controles lógicos para separar os dados dos clientes. O cliente, no entanto, é responsável por configurar controles de segurança em nível de aplicativo e por proteger suas cargas de trabalho em execução em servidores em nuvem.

Melhores Práticas do IAM

As configurações erradas permanecem tão prevalentes porque “a maioria das organizações dimensionou sua presença na nuvem mais rapidamente do que escalaram suas capacidades de segurança”, disse Chiodi. “E a única maneira de as organizações conseguirem se adiantar a isso é automatizando.”

De fato, a Unidade 42 fornece práticas recomendadas de governança do IAM no relatório, e estas incluem automatizar várias tarefas de segurança para limitar privilégios do usuário. “A grande escala da nuvem não se presta mais a fazer trabalhos de segurança manualmente”, disse Chiodi.

Embora o relatório recomende 10 passos que as empresas podem tomar para melhorar a governança do IAM, “a coisa nº 1 em que as organizações realmente precisam se concentrar é conceder acesso de menor privilégio”, acrescentou. Isso significa apenas conceder a menor quantidade de permissões necessárias para um trabalho,portanto, se um usuário ou recurso for comprometido, o raio de explosão é reduzido a apenas as poucas coisas que a entidade foi autorizada a fazer. O relatório recomenda automatizar essa tarefa.

“É aqui que encorajamos fortemente as empresas a se concentrarem em ser proativas e é isso que queremos dizer com a correção automática de privilégios excessivos”, disse Chiodi. “Procure por essas contas que têm muitas permissões e, em seguida, automaticamente tire essas permissões. Não faça disso um processo manual.”

FONTE: SDX CENTRAL

Previous post Cobertura MITRE ATT&CK
Next post Exclusivo: Universidade Positivo pode ter sido vítima de ransomware

Deixe um comentário