0
0
Um contêiner Kubernetes vulnerável e permissões frouxas permitiram que um invasor transformasse um ataque de cryptojacking oportunista em uma invasão abrangente que visava propriedade intelectual e dados confidenciais.
O ataque, que a empresa de segurança em nuvem Sysdig apelidou de “SCARLETEEL”, começou com uma ameaça explorando um cluster Kubernetes, usando um serviço interno para obter credenciais temporárias e, em seguida, usou essas credenciais para enumerar outros serviços Elastic Compute Cloud (EC2) que tinham foram implantados na infraestrutura da empresa visada. No final, a empresa – que não foi identificada no relatório do incidente publicado hoje – limitou adequadamente o escopo das permissões para a identidade roubada, o que embotou o ataque.
O incidente, no entanto, ressalta que as empresas precisam ter cuidado ao configurar os controles que permitem que os recursos da nuvem interajam uns com os outros, diz Michael Clark, diretor de pesquisa de ameaças da Sysdig.
“Ter funções do EC2 capazes de acessar outros recursos pode ser comum, embora geralmente tenha um escopo restrito para evitar incidentes como este”, diz ele. “Trata-se mais de entender como configurações incorretas como essa podem se combinar com outros problemas que levam a uma violação maior”.
O sofisticado ataque cibernético também mostra que os invasores estão cada vez mais visando a infraestrutura de nuvem de maneiras melhores. No passado, os agentes de ameaças se concentravam na interação rudimentar com serviços em nuvem, como a implantação de software de cryptojacking, mas, à medida que entendem as vulnerabilidades introduzidas pelas empresas em seus próprios ambientes, os ataques com foco na nuvem estão se tornando mais populares.
Na verdade, os casos observados de exploração da nuvem quase dobraram em 2022, enquanto o número de incidentes em que os agentes de ameaças interagiram com os recursos da nuvem quase triplicou, afirmou a empresa de serviços de segurança cibernética CrowdStrike em seu último “Relatório Global de Ameaças” anual publicado em 28 de fevereiro.
“Demorou um pouco para eles descobrirem como operar na nuvem”, diz Adam Meyers, chefe de inteligência da CrowdStrike. “As organizações realmente precisam dar uma olhada em sua segurança na nuvem, porque a nuvem vem segura, mas quando as pessoas começam a operar e alterá-la, elas a tornam menos segura.”
De violação de segurança menor a maior
O invasor comprometeu a infraestrutura de nuvem do alvo por meio de um serviço vulnerável exposto à Internet que permitia o acesso a um pod do Kubernetes , uma tecnologia usada para gerenciar e implantar aplicativos em contêineres. Uma vez dentro do cluster, o invasor usou o acesso para implantar contêineres com software de cryptojacking, basicamente roubando a capacidade de processamento da infraestrutura de nuvem da vítima para minerar criptomoedas.
“Essa é uma prática comum em ameaças automatizadas de contêineres”, afirmaram os pesquisadores da Sysdig em sua análise , acrescentando que os invasores “exploraram essa função para fazer enumerações na nuvem, procurar informações confidenciais e roubar software proprietário”.
Os invasores sabiam como se mover pela nuvem AWS, incluindo serviços EC2, conectando-se a funções serverless do Lambda e usando o serviço de integração contínua e implantação contínua (CI/CD) conhecido como Terraform. Como o Terraform geralmente salva o estado de seu pipeline em baldes do Simple Storage Service (S3), o invasor conseguiu recuperar esses arquivos e encontrar pelo menos mais uma credencial adicional nos dados de texto sem formatação.
A segunda identidade, no entanto, tinha permissões limitadas, impedindo o movimento lateral do atacante, afirmou Sysdig em sua análise. Enquanto isso, as tentativas do invasor de enumerar usuários e infraestrutura de nuvem levaram à detecção, diz Clark.
“Foi detectado por quantidades anormais de ações da AWS sendo executadas, especialmente de funções que não deveriam fazer esses tipos de solicitações”, diz ele. “Há um aspecto de inteligência de ameaças [também] – alguns dos endereços IP envolvidos foram associados a atividades maliciosas no passado”.
Configuração incorreta, não falta de MFA
As conclusões do ataque? Por um lado, as empresas precisam garantir que tenham boa visibilidade da operação e telemetria de sua infraestrutura de nuvem. Além disso, limitar o acesso — até mesmo atribuir acesso somente leitura a recursos de nuvem específicos — pode fazer toda a diferença na interrupção de um ataque em andamento. Quanto mais os invasores atacam recursos usando identidades roubadas, maior a chance de detectá-los, de acordo com Sysdig.
“Primeiro, a confiança zero e o princípio do menor privilégio são importantes e, se você os implementar, reduzirá a probabilidade de comprometimento”, escreveram os pesquisadores. “Em segundo lugar, fortes detecções e alertas devem ajudá-lo a detectar essas atividades antes que um invasor se aprofunde demais”.
Clark também aponta que as tecnologias de autenticação multifator (MFA)provavelmente não farão muita diferença em atenuar os ataques à infraestrutura de nuvem, já que a maioria das identidades de nuvem das quais os invasores se aproveitam são identidades de máquina – portanto, proteções alternativas precisam ser colocadas em prática. lugar.
“A MFA pode ter sido útil para as outras contas envolvidas impedirem seu acesso”, diz Clark, “mas essas eram contas internas feitas para fins de automação, e não aquelas que deveriam ser acessadas por uma pessoa”.
FONTE: DARK READING