[[438121]]

 配置不當(dāng)?shù)脑品?wù)可以在幾分鐘內(nèi)被威脅攻擊者利用，有時甚至不到30秒。研究人員發(fā)現(xiàn)，攻擊包括網(wǎng)絡(luò)入侵、數(shù)據(jù)盜竊和勒索軟件感染。

Palo Alto Networks的Unit 42的研究人員使用了一個由320個部署在全球的節(jié)點(diǎn)組成的Honeypot基礎(chǔ)設(shè)施，他們錯誤地配置了云中的關(guān)鍵服務(wù)——包括遠(yuǎn)程桌面協(xié)議(RDP)、安全外殼協(xié)議(SSH)、服務(wù)器消息塊(Samba)和Postgres數(shù)據(jù)庫。

研究人員在周一發(fā)布的一份報告中披露，他們發(fā)現(xiàn)攻擊者抓住了利用錯誤配置的機(jī)會，320個Honeypot中有80%在24小時內(nèi)遭到入侵，并且在一周內(nèi)全部遭到入侵。

此外，研究人員發(fā)現(xiàn)，一些攻擊在幾分鐘內(nèi)發(fā)生，其中一個速度特別快的威脅行為者在30秒內(nèi)入侵了全球80個Honeypot中的96%。

鑒于組織管理漏洞的速度通常以天或月為單位，“攻擊者可以在幾分鐘內(nèi)找到并破壞我們的Honeypot，這一點(diǎn)非常令人震驚。”Unit 42首席云安全研究員Jay Chen在帖子中寫道。

常見的云錯誤

研究清楚地表明，鑒于“這些面向互聯(lián)網(wǎng)的服務(wù)大多連接到其他云工作負(fù)載，”這些常見的錯誤配置能以多快的速度導(dǎo)致數(shù)據(jù)泄露或攻擊者破壞整個網(wǎng)絡(luò)，Chen寫道。他說，這強(qiáng)化了快速緩解和修補(bǔ)安全問題的重要性。

“當(dāng)錯誤配置或易受攻擊的服務(wù)暴露在互聯(lián)網(wǎng)上時，攻擊者只需幾分鐘即可發(fā)現(xiàn)并破壞該服務(wù)，”Chen寫道，“在安全修復(fù)的時間安排方面沒有任何誤差。”

事實(shí)上，由于云服務(wù)配置錯誤，已經(jīng)發(fā)生了許多引人注目的網(wǎng)絡(luò)事件。僅今年，兩個受歡迎的商業(yè)網(wǎng)點(diǎn)——Hobby Lobby零售連鎖店和Wegman的雜貨店——就因這些類型的錯誤而分別遭遇了數(shù)據(jù)泄露。

由于云存儲桶配置錯誤，Hobby Lobby暴露了客戶數(shù)據(jù)，而Wegman客戶數(shù)據(jù)泄露也同樣基于云的數(shù)據(jù)庫配置錯誤。

引誘攻擊者

Unit 42在2021年7月至2021年8月期間進(jìn)行了當(dāng)前的云錯誤配置研究，部署了320個蜜罐，在北美(NA)、亞太(APAC)和歐洲(EU)四個地區(qū)，SSH、Samba、Postgres和RDP的分布均勻。他們的研究分析了當(dāng)時在基礎(chǔ)設(shè)施中觀察到的攻擊的時間、頻率和來源。

為了引誘攻擊者，研究人員故意配置了一些具有弱憑據(jù)的帳戶，例如admin:admin、guest:guest、administrator:password，它們在沙盒環(huán)境中授予對應(yīng)用程序的有限訪問權(quán)限。它們在發(fā)生妥協(xié)事件——即當(dāng)威脅行為者通過其中一個憑據(jù)成功通過身份驗證并獲得對應(yīng)用程序的訪問權(quán)限時——重置honeypot。

研究人員還在honeypot子集上封鎖了一系列已知掃描儀IP，根據(jù)觀察到的網(wǎng)絡(luò)掃描流量每天更新一次防火墻策略。

該團(tuán)隊根據(jù)各種攻擊模式分析了攻擊，包括：攻擊者發(fā)現(xiàn)和破壞新服務(wù)所花費(fèi)的時間、目標(biāo)應(yīng)用程序的兩次連續(xù)入侵事件之間的平均時間、在honeypot上觀察到的攻擊者IP數(shù)量以及觀察到攻擊者IP的天數(shù)。

具體結(jié)果

研究結(jié)果表明，Samba honeypot是攻擊速度最快的honeypot，也是攻擊者以最快速度連續(xù)破壞服務(wù)honeypot。

然而，研究人員報告說，SSH是攻擊者數(shù)量最多的錯誤配置服務(wù)，遭受的攻擊者和破壞事件的數(shù)量遠(yuǎn)高于其他三個應(yīng)用程序。他們發(fā)現(xiàn)，受攻擊最多的SSH honeypot在一天內(nèi)遭到169次攻擊，而平均每個SSH蜜罐每天遭受26次攻擊。

他們發(fā)現(xiàn)，研究人員還根據(jù)地區(qū)追蹤了攻擊情況，其中北美地區(qū)攻擊的最多的是Samba和RDP，而來自亞太地區(qū)的攻擊更頻繁地針對Postgres和SSH。

Chen寫道，總體而言，85%的honeypot攻擊是在一天內(nèi)觀察到的，這向研究人員表明，阻止已知掃描儀IP對緩解攻擊無效，因為攻擊者很少重復(fù)使用相同的IP來發(fā)起攻擊。

避免常見的云錯誤

研究人員表示，對于犯下容易被利用的常見云配置錯誤的組織來說，好消息是，它們也很容易避免。Chen為系統(tǒng)管理員列出了幾項建議，以避免讓服務(wù)暴露在攻擊之下。

為了保護(hù)服務(wù)免受攻擊者IP的攻擊，云管理員可以實(shí)施防護(hù)措施以防止特權(quán)端口被打開，并創(chuàng)建審核規(guī)則來監(jiān)控所有打開的端口和暴露的服務(wù)。

研究人員還建議管理員創(chuàng)建自動響應(yīng)和補(bǔ)救規(guī)則來自動修復(fù)錯誤配置，并部署下一代防火墻來阻止惡意流量。

本文翻譯自：https://threatpost.com/cloud-misconfigurations-exploited-in-minutes/176539/如若轉(zhuǎn)載，請注明原文地址。