16 de agosto de 2024Ravie LakshmananSeguridad en la nube / Seguridad de aplicaciones Una campaña de extorsión a gran escala ha comprometido a varias organizaciones al aprovecharse de archivos de variables de entorno de acceso público (.env) que contienen credenciales asociadas con aplicaciones de redes sociales y en la nube. «Se produjeron múltiples errores de seguridad en el transcurso de esta campaña, incluidos los siguientes: exposición de variables de entorno, uso de credenciales de larga duración y ausencia de una arquitectura de mínimos privilegios», dijo la Unidad 42 de Palo Alto Networks en un informe del jueves. La campaña se destaca por establecer su infraestructura de ataque dentro de los entornos de Amazon Web Services (AWS) de las organizaciones infectadas y usarlos como plataforma de lanzamiento para escanear más de 230 millones de objetivos únicos en busca de datos confidenciales. Con 110.000 dominios atacados, se dice que la actividad maliciosa ha obtenido más de 90.000 variables únicas en los archivos .env, de las cuales 7.000 pertenecían a los servicios en la nube de las organizaciones y 1.500 variables están vinculadas a cuentas de redes sociales. «La campaña implicó que los atacantes consiguieran rescatar con éxito los datos alojados en contenedores de almacenamiento en la nube», dijo Unit 42. «El evento no incluyó a los atacantes cifrando los datos antes del rescate, sino que extrajeron los datos y colocaron la nota de rescate en el contenedor de almacenamiento en la nube comprometido». El aspecto más sorprendente de los ataques es que no se basa en vulnerabilidades de seguridad o configuraciones incorrectas en los servicios de los proveedores de la nube, sino que se deriva de la exposición accidental de archivos .env en aplicaciones web no seguras para obtener acceso inicial. Una vulneración exitosa de un entorno de nube allana el camino para pasos de descubrimiento y reconocimiento extensos con el objetivo de ampliar su presencia, con los actores de amenazas utilizando claves de acceso de AWS Identity and Access Management (IAM) para crear nuevos roles y aumentar sus privilegios. El nuevo rol de IAM con permisos administrativos se utiliza luego para crear nuevas funciones de AWS Lambda para iniciar una operación de escaneo automatizado en Internet que contiene millones de dominios y direcciones IP. «El script recuperó una lista de objetivos potenciales de un bucket S3 de terceros de acceso público explotado por el actor de la amenaza», dijeron los investigadores de Unit 42 Margaret Zimmermann, Sean Johnstone, William Gamazo y Nathaniel Quist. «La lista de objetivos potenciales sobre los que iteró la función lambda maliciosa contenía un registro de dominios de víctimas. Para cada dominio de la lista, el código realizó una solicitud cURL, apuntando a cualquier archivo de variable de entorno expuesto en ese dominio (es decir, https://
Deja una respuesta