[[438121]]

 配置不當的云服務可以在幾分鐘內被威脅攻擊者利用，有時甚至不到30秒。研究人員發(fā)現(xiàn)，攻擊包括網絡入侵、數據盜竊和勒索軟件感染。

Palo Alto Networks的Unit 42的研究人員使用了一個由320個部署在全球的節(jié)點組成的Honeypot基礎設施，他們錯誤地配置了云中的關鍵服務——包括遠程桌面協(xié)議(RDP)、安全外殼協(xié)議(SSH)、服務器消息塊(Samba)和Postgres數據庫。

研究人員在周一發(fā)布的一份報告中披露，他們發(fā)現(xiàn)攻擊者抓住了利用錯誤配置的機會，320個Honeypot中有80%在24小時內遭到入侵，并且在一周內全部遭到入侵。

此外，研究人員發(fā)現(xiàn)，一些攻擊在幾分鐘內發(fā)生，其中一個速度特別快的威脅行為者在30秒內入侵了全球80個Honeypot中的96%。

鑒于組織管理漏洞的速度通常以天或月為單位，“攻擊者可以在幾分鐘內找到并破壞我們的Honeypot，這一點非常令人震驚。”Unit 42首席云安全研究員Jay Chen在帖子中寫道。

常見的云錯誤

研究清楚地表明，鑒于“這些面向互聯(lián)網的服務大多連接到其他云工作負載，”這些常見的錯誤配置能以多快的速度導致數據泄露或攻擊者破壞整個網絡，Chen寫道。他說，這強化了快速緩解和修補安全問題的重要性。

“當錯誤配置或易受攻擊的服務暴露在互聯(lián)網上時，攻擊者只需幾分鐘即可發(fā)現(xiàn)并破壞該服務，”Chen寫道，“在安全修復的時間安排方面沒有任何誤差。”

事實上，由于云服務配置錯誤，已經發(fā)生了許多引人注目的網絡事件。僅今年，兩個受歡迎的商業(yè)網點——Hobby Lobby零售連鎖店和Wegman的雜貨店——就因這些類型的錯誤而分別遭遇了數據泄露。

由于云存儲桶配置錯誤，Hobby Lobby暴露了客戶數據，而Wegman客戶數據泄露也同樣基于云的數據庫配置錯誤。

引誘攻擊者

Unit 42在2021年7月至2021年8月期間進行了當前的云錯誤配置研究，部署了320個蜜罐，在北美(NA)、亞太(APAC)和歐洲(EU)四個地區(qū)，SSH、Samba、Postgres和RDP的分布均勻。他們的研究分析了當時在基礎設施中觀察到的攻擊的時間、頻率和來源。

為了引誘攻擊者，研究人員故意配置了一些具有弱憑據的帳戶，例如admin:admin、guest:guest、administrator:password，它們在沙盒環(huán)境中授予對應用程序的有限訪問權限。它們在發(fā)生妥協(xié)事件——即當威脅行為者通過其中一個憑據成功通過身份驗證并獲得對應用程序的訪問權限時——重置honeypot。

研究人員還在honeypot子集上封鎖了一系列已知掃描儀IP，根據觀察到的網絡掃描流量每天更新一次防火墻策略。

該團隊根據各種攻擊模式分析了攻擊，包括：攻擊者發(fā)現(xiàn)和破壞新服務所花費的時間、目標應用程序的兩次連續(xù)入侵事件之間的平均時間、在honeypot上觀察到的攻擊者IP數量以及觀察到攻擊者IP的天數。

具體結果

研究結果表明，Samba honeypot是攻擊速度最快的honeypot，也是攻擊者以最快速度連續(xù)破壞服務honeypot。

然而，研究人員報告說，SSH是攻擊者數量最多的錯誤配置服務，遭受的攻擊者和破壞事件的數量遠高于其他三個應用程序。他們發(fā)現(xiàn)，受攻擊最多的SSH honeypot在一天內遭到169次攻擊，而平均每個SSH蜜罐每天遭受26次攻擊。

他們發(fā)現(xiàn)，研究人員還根據地區(qū)追蹤了攻擊情況，其中北美地區(qū)攻擊的最多的是Samba和RDP，而來自亞太地區(qū)的攻擊更頻繁地針對Postgres和SSH。

Chen寫道，總體而言，85%的honeypot攻擊是在一天內觀察到的，這向研究人員表明，阻止已知掃描儀IP對緩解攻擊無效，因為攻擊者很少重復使用相同的IP來發(fā)起攻擊。

避免常見的云錯誤

研究人員表示，對于犯下容易被利用的常見云配置錯誤的組織來說，好消息是，它們也很容易避免。Chen為系統(tǒng)管理員列出了幾項建議，以避免讓服務暴露在攻擊之下。

為了保護服務免受攻擊者IP的攻擊，云管理員可以實施防護措施以防止特權端口被打開，并創(chuàng)建審核規(guī)則來監(jiān)控所有打開的端口和暴露的服務。

研究人員還建議管理員創(chuàng)建自動響應和補救規(guī)則來自動修復錯誤配置，并部署下一代防火墻來阻止惡意流量。

本文翻譯自：https://threatpost.com/cloud-misconfigurations-exploited-in-minutes/176539/如若轉載，請注明原文地址。