Ez az első olyan támadás, amikor egy elterjedt felhős segédeszköz képességeit rosszra használják.

A felhőben is megjelent az a módszer, ami on-premise, főleg desktop rendszereknél már ismert: legális eszközt használtak hekkertámadásra. Mint a Security Week írja, a TeamTNT néven azonosított csoport a Weave Scope nevű, viszonylag széles körben használt alkalmazás segítségével támadott meg felhős környezeteket. Az alkalmazással feltérképezték a rendszert, majd ott illegális parancsokat hajtottak végre.

Maga a csoport nem ismeretlen a kiberbiztonsági kutatók számára: korábban egy speciális féreggel támadtak Docker- és Kubernetes-rendszereket, hogy helyi hitelesítő adatokat, köztük AWS-bejelentkezési információkat szerezzenek meg. Az adatok birtokában aztán kriptovaluta-bányász szoftvereket futtattak a megtámadott rendszereken. Jelen esetben is ez a cél.

Ideális jelölt volt

A Weave Scope felügyeleti, megjelenítési és vezérlési eszközöket biztosít Dockerhez, Kuberneteshez, valamint DC/OS-hez (Distributed Cloud Operating System) és az AWS Elastic Compute Cloudhoz. Egyik fontos erényének tartják, hogy zökkenőmentesen lehet integrálni mind a négy felhős megoldással, nyílt forráskódú, ezért előszeretettel is használják az ügyfelek.

Nem véletlenül ezt választotta a TeamTNT is. Mint a támadást feltérképező Intezer felhőbiztonsági cég írja, az eszköz böngészőből használható vezérlőpultján a felhasználó az infrastruktúra (konténerek, folyamatok, hostok) minden fontos információját látja. Ha Weave Scope-on keresztül sikerül bejutni egy adott rendszerbe, a támadó lényegében bármit megtehet, hiszen látja és befolyásolhatja az összes telepített alkalmazást, a felhős workloadok közötti kapcsolatokat, a memória- és CPU-használatukat, a konténerek listáját... Olyan, mintha egy backdoort telepítettek volna az adott szerverre, és még a lebukástól sem nagyon kell tartaniuk, ha ésszel csinálják a dolgukat.

A támadás első lépéseként egy rosszul konfigurált, nyitott Docker API-porton keresztül létrehoznak egy privilegizált konténert egy tiszta Ubuntu image-dzsel. A konténer fájlrendszerét tudják úgy konfigurálni, hogy az becsatolódjon (mount) a támadott szerver fájlrendszerébe, így a támadók hozzáférnek a szerveren lévő fájlokhoz. A host gépre létrehoznak egy helyi jogosultságokkal rendelkező felhasználót, amit egy SSH-n keresztüli újramountolásnál a jogosultságok növelésére használnak.

A Weave Scope-ot csak ez után telepítik, hogy feltérképezhessék az áldozat szerver felhőkörnyezetét. A Weave Scope dashboardja egy térképen megjeleníti az infrastruktúrát, és lehetővé teszi a támadók számára shell parancsok végrehajtását anélkül, hogy malware-t kellene telepíteniük.

A megoldás: jobb konfiguráció, szigorúbb házirend

Az Intezer szerint ez az első olyan vadonban talált támadás, amikor a kiberbűnözők törvényes szoftvert használtak támadásuk menedzseléséhez felhős konténerizált környezetben.

A biztonsági cég szerint a hatékony védekezéshez le kell zárni a Docker API-portokat (a támadók ugyanis ezeken keresztül indítják a támadást), és blokkolni kell a bejövő kapcsolatokat a 4040-es porthoz (ezt használják a Weave Scope dashboardjának az eléréséhez). A Zero Trust Execution (ZTE) házirend ('folyamatos ellenőrzés – nulla bizalom' elv) alkalmazásával az ilyen támadások megelőzhetők annak ellenére, hogy a Weave Scope hivatalos eszköz. A ZTE-elvű házirend ugyanis semmiféle eltérést nem engedélyez az előre meghatározott iránytól.

Biztonság

Az Amazon is elindítja saját cloudos játékplatformját

Az Amazon Luna többek között a Google Stadiának törhet majd némi borsot az orra alá. A frissen bejelentett streaming szolgáltatás nagy előnye lehet, hogy 2014 óta házon belül van a Twitch is.
 
Hirdetés

A hatásos védelemhez egy webalkalmazás-tűzfal ma már nem elég

A Proxedo API Security túllép a hagyományos webalkalmazás-tűzfalakon: hatásosan védi az API-végpontokat.

Bár a PSD2 kapcsán váltak széles körben ismertté az API-kban rejlő kockázatok, nem kell külső, harmadik fél ahhoz, hogy ezek a kockázatok testet öltsenek.

a melléklet támogatója a BalaSys

Nem általában a távmunkáé, hanem a mostani tipikus távmunka-helyzeteké. A szervezetek arra nem voltak felkészülve, hogy mindenki otthonról dolgozik.

Alapjaiban kell megújítani a biztonságról kialakított felfogásunkat

Tavaly január végétől megszűnt a Java SE 8 ingyenes frissítése, és a Java SE 11 sem használható ingyenesen üzleti célra. Tanácsok azoknak, akik még nem találtak megoldást. Hegedüs Tamás (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2020 Bitport.hu Média Kft. Minden jog fenntartva.