0
0
Legiões de bancos de dados estão sendo expostas inadvertidamente mensalmente, por meio de um recurso de um serviço de backup de dados baseado em nuvem da Amazon. A situação dá aos agentes de ameaças acesso a informações de identificação pessoal (PII) que eles podem usar em extorsão, ransomware ou outras atividades de ameaças, descobriram os pesquisadores.
O Amazon RDS é uma popular plataforma como serviço que fornece um banco de dados baseado em vários mecanismos opcionais, incluindo MySQL e PostgreSQL. Um instantâneo RDS, ou um instantâneo de volume de armazenamento de uma instância de banco de dados, é um recurso intuitivo que ajuda as organizações a fazer backup de seus bancos de dados, permitindo que os usuários compartilhem dados públicos ou um modelo de banco de dados com um aplicativo, disseram os pesquisadores.
A equipe de pesquisa da Mitiga descobriu recentemente os vazamentos na forma de vários instantâneos do Amazon Relationship Database Service (RDS) que estão sendo compartilhados publicamente — intencionalmente ou por engano.
Ao longo de um mês, os pesquisadores disseram que observaram 2.783 instantâneos do RDS, 810 dos quais foram expostos publicamente durante todo o período. Além disso, 1.859 instantâneos dos 2.783 foram expostos por um a dois dias, o que ainda é tempo suficiente para os invasores atacarem o vazamento, relataram.
Indivíduos dentro de uma organização também podem compartilhar esses instantâneos com colegas usando o recurso sem ter que se preocupar com perfis ou funções do usuário – um cenário que leva ao compartilhamento público do instantâneo, disseram os pesquisadores.
“Esses instantâneos podem ser compartilhados entre diferentes contas [Amazon Web Services] – dentro ou fora da organização local, bem como contas da AWS que disponibilizam os instantâneos RDS publicamente”, escreveram os pesquisadores. “Com isso, pode-se vazar involuntariamente dados confidenciais para o mundo, mesmo se você usar uma configuração de rede altamente segura”.
Algumas das exposições duram meses e outras apenas por um curto período de tempo, em ambos os casos, potencialmente permitindo que os agentes de ameaças se aproveitem, disseram eles em uma postagem de blog compartilhada on-line em 16 de novembro.
Descobrindo configurações incorretas da nuvem e erros do usuário
A exposição mais uma vez destaca o potencial de exploração da frágil postura de segurança dos serviços baseados em nuvem que permitem que os recursos corporativos sejam compartilhados na Internet pública, observaram os pesquisadores da Mitiga Ariel Szarf, Doron Karmi e Lionel Saposnik no post.
“Os invasores estão sempre procurando novas maneiras de colocar as mãos em informações confidenciais das organizações, principalmente para obter ganhos financeiros”, escreveram eles. “Alguns serviços de nuvem que permitem o compartilhamento de recursos de nuvem amplamente para o mundo [estão] expondo uma nova ameaça às organizações – compartilhamento não intencional de informações por meio de recursos como instantâneos de disco (EBS) ou, no nosso caso, instantâneos de banco de dados (RDS)”.
Para conduzir sua pesquisa, a equipe da Mitiga desenvolveu uma técnica nativa da AWS, usando AWS Lambda Step Function e boto3, que pode ser facilmente integrada a um ambiente da AWS e personalizada para investigar a exposição de instantâneos.
Infelizmente, os invasores também podem desenvolver essa ferramenta para visualizar instantâneos públicos e executar as mesmas tarefas, permitindo que eles roubem dados desses recursos voltados para o público e abusem deles posteriormente para extorquir dinheiro de organizações que os possuem, disseram os pesquisadores.
Os pesquisadores descreveram várias instâncias específicas nas quais poderiam acessar dados de instantâneos expostos durante uma investigação de um mês.
Um deles era um banco de dados MySQL exposto durante todo o mês que parecia ser de uma agência de aluguel de carros. Os dados expostos incluíam informações de transações de aluguel de carros, incluindo PII de clientes; dados de conhecimento comercial, como o tipo de carros da frota da empresa; e outras informações específicas de aluguel.
Outro instantâneo exposto por menos de quatro horas veio de um banco de dados de um aplicativo de namoro extinto que incluía uma tabela de usuários contendo e-mails, hashes de senha, datas de nascimento, links para imagens pessoais, mensagens privadas e outros dados pessoais de cerca de 2.200 usuários de a aplicação.
Nenhuma PII? ainda é um problema
Mesmo que um instantâneo do RDS exposto publicamente não inclua PII, ainda há uma maneira de os agentes de ameaças descobrirem a quem pertence o banco de dados e, portanto, seus dados, disseram os pesquisadores.
Em sua investigação, eles conseguiram identificar quem possuía IDs de contas para muitos instantâneos simplesmente olhando para o nome do instantâneo e vendo o nome da empresa nele, disseram eles.
Além disso, cada metadado instantâneo contém um campo chamado “MasterUsername”, que é o nome de usuário do banco de dados principal, explicaram os pesquisadores. Em muitos casos, esse nome de usuário inclui o nome da empresa proprietária do banco de dados totalmente explícito ou identificado em siglas e atalhos; ou o nome de uma pessoa que trabalha na empresa, disseram.
No último caso, usando um método que eles admitiram ser “um pouco assustador, mas útil”, os pesquisadores conduziram pesquisas no LinkedIn para descobrir onde as pessoas identificadas no nome de usuário trabalhavam, observando que esse é um método que os agentes de ameaças poderiam empregar para fazer o mesmo.
Mitigando o problema
Como muitas organizações que usam o Amazon RDS podem nem saber se possuem instantâneos públicos, identificar se há algum em seus respectivos ambientes é o primeiro passo para mitigar o problema, disseram os pesquisadores.
De forma útil, a Amazon envia um e-mail rapidamente aos usuários se eles compartilharem um instantâneo publicamente, notificando-os sobre o instantâneo público para garantir que ele deveria estar disponível publicamente. No caso de um teste feito pelos pesquisadores, esse e-mail foi recebido 23 minutos após a exposição.
Os pesquisadores também descreveram uma maneira passo a passo de realizar uma verificação histórica usando os logs do CloudTrail para descobrir se alguém criou um instantâneo público que pode ser potencialmente abusado.
Para evitar a criação de instantâneos públicos do Amazon RDS, as empresas devem gerenciar bem as permissões adotando uma prática de “permissões de privilégio mínimo”, concedendo-as apenas de forma estrita e conforme a necessidade.
Eles também podem definir políticas de controle de serviço (SCPs), que são políticas de nível organizacional da AWS que podem especificar as permissões máximas para uma organização, disseram os pesquisadores. A aplicação do SCP em uma conta raiz da AWS para negar certas operações no instantâneo do RDS impedirá o compartilhamento não intencional de bancos de dados RDS, disseram eles.
As organizações também podem criptografar instantâneos na AWS usando uma chave KMS, e os pesquisadores confirmaram em sua investigação que não é possível compartilhar um instantâneo criptografado publicamente dessa maneira, disseram eles.
Um obstáculo para a mitigação é que atualmente não há como saber se alguém copiou um instantâneo público de um banco de dados do Amazon RDS, pois não há evento de log para copiar um instantâneo público para outra conta ou restaurar uma instância de banco de dados de outra conta no instantâneo conta do proprietário, disseram os pesquisadores.
A Mitiga abordou a AWS sobre o problema e, após a confirmação de que “registrar uma operação de cópia e restauração do RDS não está disponível no momento”, fez uma solicitação de recurso para oferecer suporte à sua adição à plataforma, disseram os pesquisadores.
FONTE: DARK READING