Исследователи из Palo Alto Networks продемонстрировали, насколько уязвимыми могут быть облачные сервисы после развертывания сотен ловушек, которые выглядят как небезопасная инфраструктура.
В период с июля по август 2021 года специалисты кибербезопасности создали ловушку, состоящую из 320 нодов в в Северной Америке (NA), Азиатско-Тихоокеанском регионе (APAC) и Европе (ЕС), состоящую из нескольких некорректно настроенных общих облачных сервисов, включающих протокол удаленного рабочего стола (RDP), протокол удаленного администрирования (SSH), сетевой протокол обмена файлами (SMB) и базы данных Postgres,
сообщает Zdnet.
Ловушка также включала учетные записи с использованием паролей по умолчанию или ненадежных паролей — это то, что ищут киберпреступники.
«Мы намеренно настроили несколько учетных записей со слабыми учетными данными, такими как admin: admin, guest: guest, administrator: password», – пишет Джей Чен, главный исследователь по облачной безопасности в Palo Alto Networks.
Вскоре хакеры обнаружили ловушку: некоторые сайты были взломаны за считанные минуты, 80% в течение 24 часов. И все они – в течение недели.
Наиболее атакованным стал протокол сетевой связи SSH, позволяющий двум машинам обмениваться данными. Каждая ловушка SSH взламывалась в среднем 26 раз в день. Наибольшим количеством стало 169 раз за один день. Между тем, один злоумышленник взломал 96% из 80 ловушек Postgres за 90 секунд.
85% IP-адресов злоумышленников работали только в течение одного дня. Это указывает на то, что межсетевые экраны на основе IP 3 неэффективны, поскольку хакеры редко повторно используют одни и те же IP-адреса для запуска атак. Список вредоносных IP-адресов, созданный сегодня, скорее всего, завтра устареет.
«Скорость управления уязвимостями обычно измеряется днями или месяцами. Тот факт, что злоумышленники могут найти и взломать наши ловушки за считанные минуты, шокирует. Это исследование демонстрирует риск незащищенных уязвимостей», – говорит Джей Чен.
Известно, что несколько печально известных программ-вымогателей используют открытые облачные сервисы для получения доступа к сети жертвы, чтобы в итоге зашифровать как можно больше и потребовать многомиллионный выкуп в обмен на ключ дешифрования.
Между тем, хакерские группы, поддерживаемые государством, также используют облачные сервисы для проникновения в сети с целью осуществления шпионажа, кражи данных или незаметного развертывания вредоносных программ.
Когда дело доходит до защиты учетных записей, используемых для доступа к облачным службам, организациям следует избегать использования паролей по умолчанию, а пользователям необходимо иметь многофакторную аутентификацию, чтобы создать дополнительный барьер для предотвращения утечек учетных данных.
Для организаций также жизненно важно своевременно устанавливать патчи, когда они доступны, чтобы не дать киберпреступникам воспользоваться известными эксплойтами – и это в полной мере относится к облакам.