Ez az első olyan támadás, amikor egy elterjedt felhős segédeszköz képességeit rosszra használják.

A felhőben is megjelent az a módszer, ami on-premise, főleg desktop rendszereknél már ismert: legális eszközt használtak hekkertámadásra. Mint a Security Week írja, a TeamTNT néven azonosított csoport a Weave Scope nevű, viszonylag széles körben használt alkalmazás segítségével támadott meg felhős környezeteket. Az alkalmazással feltérképezték a rendszert, majd ott illegális parancsokat hajtottak végre.

Maga a csoport nem ismeretlen a kiberbiztonsági kutatók számára: korábban egy speciális féreggel támadtak Docker- és Kubernetes-rendszereket, hogy helyi hitelesítő adatokat, köztük AWS-bejelentkezési információkat szerezzenek meg. Az adatok birtokában aztán kriptovaluta-bányász szoftvereket futtattak a megtámadott rendszereken. Jelen esetben is ez a cél.

Ideális jelölt volt

A Weave Scope felügyeleti, megjelenítési és vezérlési eszközöket biztosít Dockerhez, Kuberneteshez, valamint DC/OS-hez (Distributed Cloud Operating System) és az AWS Elastic Compute Cloudhoz. Egyik fontos erényének tartják, hogy zökkenőmentesen lehet integrálni mind a négy felhős megoldással, nyílt forráskódú, ezért előszeretettel is használják az ügyfelek.

Nem véletlenül ezt választotta a TeamTNT is. Mint a támadást feltérképező Intezer felhőbiztonsági cég írja, az eszköz böngészőből használható vezérlőpultján a felhasználó az infrastruktúra (konténerek, folyamatok, hostok) minden fontos információját látja. Ha Weave Scope-on keresztül sikerül bejutni egy adott rendszerbe, a támadó lényegében bármit megtehet, hiszen látja és befolyásolhatja az összes telepített alkalmazást, a felhős workloadok közötti kapcsolatokat, a memória- és CPU-használatukat, a konténerek listáját... Olyan, mintha egy backdoort telepítettek volna az adott szerverre, és még a lebukástól sem nagyon kell tartaniuk, ha ésszel csinálják a dolgukat.

A támadás első lépéseként egy rosszul konfigurált, nyitott Docker API-porton keresztül létrehoznak egy privilegizált konténert egy tiszta Ubuntu image-dzsel. A konténer fájlrendszerét tudják úgy konfigurálni, hogy az becsatolódjon (mount) a támadott szerver fájlrendszerébe, így a támadók hozzáférnek a szerveren lévő fájlokhoz. A host gépre létrehoznak egy helyi jogosultságokkal rendelkező felhasználót, amit egy SSH-n keresztüli újramountolásnál a jogosultságok növelésére használnak.

A Weave Scope-ot csak ez után telepítik, hogy feltérképezhessék az áldozat szerver felhőkörnyezetét. A Weave Scope dashboardja egy térképen megjeleníti az infrastruktúrát, és lehetővé teszi a támadók számára shell parancsok végrehajtását anélkül, hogy malware-t kellene telepíteniük.

A megoldás: jobb konfiguráció, szigorúbb házirend

Az Intezer szerint ez az első olyan vadonban talált támadás, amikor a kiberbűnözők törvényes szoftvert használtak támadásuk menedzseléséhez felhős konténerizált környezetben.

A biztonsági cég szerint a hatékony védekezéshez le kell zárni a Docker API-portokat (a támadók ugyanis ezeken keresztül indítják a támadást), és blokkolni kell a bejövő kapcsolatokat a 4040-es porthoz (ezt használják a Weave Scope dashboardjának az eléréséhez). A Zero Trust Execution (ZTE) házirend ('folyamatos ellenőrzés – nulla bizalom' elv) alkalmazásával az ilyen támadások megelőzhetők annak ellenére, hogy a Weave Scope hivatalos eszköz. A ZTE-elvű házirend ugyanis semmiféle eltérést nem engedélyez az előre meghatározott iránytól.

Biztonság

Lépcsőzik és hosszú távot fut Cassie, a kétlábú robot

Az Oregoni Állami Egyetem kutatói komoly eredményeket értek el a megerősítéses mélytanulás felhasználásával egy kétlábú modell fejlesztésében.
 
A szállodaipar digitalizációs trendjeiben az az egyik közös pont, hogy egyik sem működhet masszív kommunikációs háttér, azaz hálózat nélkül.

a melléklet támogatója a TP-Link

CIO KUTATÁS

A PANDÉMIA HATÁSAIRÓL

Az ön véleményére is számítunk a Corvinus Egyetem Informatikai Intézetével végzett kutatásunkban. Segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!

MEHET

A KPMG immár 22. alkalommal kiadott CIO Survey jelentése szerint idén az informatikai vezetők leginkább a digitalizációra, a biztonságra és a szoftverszolgáltatásokra koncentráltak.

Használtszoftver-kereskedelem a Brexit után

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2021 Bitport.hu Média Kft. Minden jog fenntartva.