威胁攻击者可以在几分钟内使用配置不当的云服务,有时甚至不到30秒。研究人员发现,攻击包括网络入侵、数据盗窃和勒索软件感染。
Palo Alto Networks的Unit 42的研究人员使用了一个由320个部署在世界各地的节点组成的节点Honeypot他们错误地配置了云中的关键服务——包括远程桌面协议(RDP)、安全外壳协议(SSH)、服务器新闻块(Samba)和Postgres数据库。
研究人员在周一发布的一份报告中透露,他们发现攻击者抓住了320个错误配置的机会Honeypot80%在24小时内入侵,一周内全部入侵。
此外,研究人员发现,一些攻击发生在几分钟内,其中一个特别快的威胁者在30秒内入侵了全球80人Honeypot中的96%。
鉴于组织管理漏洞的速度通常以天或月为单位,“攻击者可以在几分钟内找到并摧毁我们Honeypot,这一点非常令人震惊。”Unit 42首席云安全研究员Jay Chen在帖子中写道。
常见的云错误
研究清楚地表明,鉴于“这些互联网服务大多与其他云工作负荷相连,”这些常见的错误配置会导致数据泄露或攻击者以多快的速度破坏整个网络,Chen写道。他说,这加强了快速缓解和修复安全问题的重要性。
“在互联网上暴露出错误的配置或易受攻击的服务时,攻击者只需几分钟就能发现并破坏服务,”Chen写道,“安全维修时间安排没有误差。”
事实上,由于云服务配置错误,发生了许多引人注目的网络事件。仅今年,就有两个受欢迎的商业网点——Hobby Lobby零售连锁店和Wegman的杂货店——数据泄露是由于这些类型的错误造成的。
由于云存储桶配置错误,Hobby Lobby暴露客户数据Wegman基于云的数据库配置错误,客户数据泄露也是如此。
引诱攻击者
Unit 42于2021年7月至2021年8月进行了当前云错配置研究,在北美部署了320个蜜罐(NA)、亚太(APAC)和欧洲(EU)四个地区,SSH、Samba、Postgres和RDP均匀分布。他们的研究分析了当时在基础设施中观察到的攻击的时间、频率和来源。
为了引诱攻击者,研究人员故意配置了一些弱凭证账户,如admin:admin、guest:guest、administrator:password,它们在沙箱环境中授予有限的访问应用程序的权限。他们正在妥协——即使威胁行为人通过其中一个凭证成功通过身份验证并获得对应用程序的访问权限——重置honeypot。
研究人员还在honeypot子集封锁了一系列已知扫描仪IP,防火墙策略每天根据观察到的网络扫描流量更新一次。
该团队根据各种攻击模式分析了攻击,包括攻击者发现和破坏新服务的平均时间、目标应用程序之间的平均时间honeypot上面观察到的攻击者IP观察攻击者的数量和数量IP的天数。
具体结果
研究结果表明,Samba honeypot攻击速度最快honeypot,也是攻击者以最快速度连续破坏服务honeypot。
然而,研究人员报告说,SSH它是攻击者数量最多的错误配置服务,攻击者和破坏事件的数量远远高于其他三个应用程序。他们发现攻击最多SSH honeypot每天攻击169次,平均每次攻击SSH蜜罐每天攻击26次。
他们发现,研究人员还根据地区跟踪攻击情况,其中北美攻击最多Samba和RDP,亚太地区的攻击更频繁Postgres和SSH。
Chen总的来说,85%的写道honeypot攻击是在一天内观察到的,这告诉研究人员防止已知扫描仪IP对缓解攻击无效,因为攻击者很少重复使用相同的攻击IP攻击。
避免常见的云错误
研究人员说,对于容易使用的常见云配置错误的组织来说,好消息是,它们也很容易避免。Chen为了避免服务暴露在攻击下,系统管理员提出了几项建议。
为了保护免受攻击者的服务IP云管理员可以实施防护措施,防止特权端口被打开,并创建审计规则来监控所有打开端口和暴露服务。
研究人员还建议管理员创建自动响应和补救规则来自动修复错误配置,并部署下一代防火墙来阻止恶意流量。
本文翻译自:https://threatpost.com/cloud-misconfigurations-exploited-in-minutes/176539/如果转载,请注明原始地址。