A felhőben is megjelent az a módszer, ami on-premise, főleg desktop rendszereknél már ismert: legális eszközt használtak hekkertámadásra. Mint a Security Week írja, a TeamTNT néven azonosított csoport a Weave Scope nevű, viszonylag széles körben használt alkalmazás segítségével támadott meg felhős környezeteket. Az alkalmazással feltérképezték a rendszert, majd ott illegális parancsokat hajtottak végre.

Maga a csoport nem ismeretlen a kiberbiztonsági kutatók számára: korábban egy speciális féreggel támadtak Docker- és Kubernetes-rendszereket, hogy helyi hitelesítő adatokat, köztük AWS-bejelentkezési információkat szerezzenek meg. Az adatok birtokában aztán kriptovaluta-bányász szoftvereket futtattak a megtámadott rendszereken. Jelen esetben is ez a cél.

Ideális jelölt volt

A Weave Scope felügyeleti, megjelenítési és vezérlési eszközöket biztosít Dockerhez, Kuberneteshez, valamint DC/OS-hez (Distributed Cloud Operating System) és az AWS Elastic Compute Cloudhoz. Egyik fontos erényének tartják, hogy zökkenőmentesen lehet integrálni mind a négy felhős megoldással, nyílt forráskódú, ezért előszeretettel is használják az ügyfelek.

Nem véletlenül ezt választotta a TeamTNT is. Mint a támadást feltérképező Intezer felhőbiztonsági cég írja, az eszköz böngészőből használható vezérlőpultján a felhasználó az infrastruktúra (konténerek, folyamatok, hostok) minden fontos információját látja. Ha Weave Scope-on keresztül sikerül bejutni egy adott rendszerbe, a támadó lényegében bármit megtehet, hiszen látja és befolyásolhatja az összes telepített alkalmazást, a felhős workloadok közötti kapcsolatokat, a memória- és CPU-használatukat, a konténerek listáját... Olyan, mintha egy backdoort telepítettek volna az adott szerverre, és még a lebukástól sem nagyon kell tartaniuk, ha ésszel csinálják a dolgukat.

A támadás első lépéseként egy rosszul konfigurált, nyitott Docker API-porton keresztül létrehoznak egy privilegizált konténert egy tiszta Ubuntu image-dzsel. A konténer fájlrendszerét tudják úgy konfigurálni, hogy az becsatolódjon (mount) a támadott szerver fájlrendszerébe, így a támadók hozzáférnek a szerveren lévő fájlokhoz. A host gépre létrehoznak egy helyi jogosultságokkal rendelkező felhasználót, amit egy SSH-n keresztüli újramountolásnál a jogosultságok növelésére használnak.

A Weave Scope-ot csak ez után telepítik, hogy feltérképezhessék az áldozat szerver felhőkörnyezetét. A Weave Scope dashboardja egy térképen megjeleníti az infrastruktúrát, és lehetővé teszi a támadók számára shell parancsok végrehajtását anélkül, hogy malware-t kellene telepíteniük.

A megoldás: jobb konfiguráció, szigorúbb házirend

Az Intezer szerint ez az első olyan vadonban talált támadás, amikor a kiberbűnözők törvényes szoftvert használtak támadásuk menedzseléséhez felhős konténerizált környezetben.

A biztonsági cég szerint a hatékony védekezéshez le kell zárni a Docker API-portokat (a támadók ugyanis ezeken keresztül indítják a támadást), és blokkolni kell a bejövő kapcsolatokat a 4040-es porthoz (ezt használják a Weave Scope dashboardjának az eléréséhez). A Zero Trust Execution (ZTE) házirend ('folyamatos ellenőrzés – nulla bizalom' elv) alkalmazásával az ilyen támadások megelőzhetők annak ellenére, hogy a Weave Scope hivatalos eszköz. A ZTE-elvű házirend ugyanis semmiféle eltérést nem engedélyez az előre meghatározott iránytól.