Ez az első olyan támadás, amikor egy elterjedt felhős segédeszköz képességeit rosszra használják.

A felhőben is megjelent az a módszer, ami on-premise, főleg desktop rendszereknél már ismert: legális eszközt használtak hekkertámadásra. Mint a Security Week írja, a TeamTNT néven azonosított csoport a Weave Scope nevű, viszonylag széles körben használt alkalmazás segítségével támadott meg felhős környezeteket. Az alkalmazással feltérképezték a rendszert, majd ott illegális parancsokat hajtottak végre.

Maga a csoport nem ismeretlen a kiberbiztonsági kutatók számára: korábban egy speciális féreggel támadtak Docker- és Kubernetes-rendszereket, hogy helyi hitelesítő adatokat, köztük AWS-bejelentkezési információkat szerezzenek meg. Az adatok birtokában aztán kriptovaluta-bányász szoftvereket futtattak a megtámadott rendszereken. Jelen esetben is ez a cél.

Ideális jelölt volt

A Weave Scope felügyeleti, megjelenítési és vezérlési eszközöket biztosít Dockerhez, Kuberneteshez, valamint DC/OS-hez (Distributed Cloud Operating System) és az AWS Elastic Compute Cloudhoz. Egyik fontos erényének tartják, hogy zökkenőmentesen lehet integrálni mind a négy felhős megoldással, nyílt forráskódú, ezért előszeretettel is használják az ügyfelek.

Nem véletlenül ezt választotta a TeamTNT is. Mint a támadást feltérképező Intezer felhőbiztonsági cég írja, az eszköz böngészőből használható vezérlőpultján a felhasználó az infrastruktúra (konténerek, folyamatok, hostok) minden fontos információját látja. Ha Weave Scope-on keresztül sikerül bejutni egy adott rendszerbe, a támadó lényegében bármit megtehet, hiszen látja és befolyásolhatja az összes telepített alkalmazást, a felhős workloadok közötti kapcsolatokat, a memória- és CPU-használatukat, a konténerek listáját... Olyan, mintha egy backdoort telepítettek volna az adott szerverre, és még a lebukástól sem nagyon kell tartaniuk, ha ésszel csinálják a dolgukat.

A támadás első lépéseként egy rosszul konfigurált, nyitott Docker API-porton keresztül létrehoznak egy privilegizált konténert egy tiszta Ubuntu image-dzsel. A konténer fájlrendszerét tudják úgy konfigurálni, hogy az becsatolódjon (mount) a támadott szerver fájlrendszerébe, így a támadók hozzáférnek a szerveren lévő fájlokhoz. A host gépre létrehoznak egy helyi jogosultságokkal rendelkező felhasználót, amit egy SSH-n keresztüli újramountolásnál a jogosultságok növelésére használnak.

A Weave Scope-ot csak ez után telepítik, hogy feltérképezhessék az áldozat szerver felhőkörnyezetét. A Weave Scope dashboardja egy térképen megjeleníti az infrastruktúrát, és lehetővé teszi a támadók számára shell parancsok végrehajtását anélkül, hogy malware-t kellene telepíteniük.

A megoldás: jobb konfiguráció, szigorúbb házirend

Az Intezer szerint ez az első olyan vadonban talált támadás, amikor a kiberbűnözők törvényes szoftvert használtak támadásuk menedzseléséhez felhős konténerizált környezetben.

A biztonsági cég szerint a hatékony védekezéshez le kell zárni a Docker API-portokat (a támadók ugyanis ezeken keresztül indítják a támadást), és blokkolni kell a bejövő kapcsolatokat a 4040-es porthoz (ezt használják a Weave Scope dashboardjának az eléréséhez). A Zero Trust Execution (ZTE) házirend ('folyamatos ellenőrzés – nulla bizalom' elv) alkalmazásával az ilyen támadások megelőzhetők annak ellenére, hogy a Weave Scope hivatalos eszköz. A ZTE-elvű házirend ugyanis semmiféle eltérést nem engedélyez az előre meghatározott iránytól.

Biztonság

Mennyit is keres most egy IT-szakember? Itt egy válasz...

A No Fluff Jobs állásportál friss felmérése szerint továbbra is sokat, és ezt most maguk az alkalmazottak erősítették meg.
 
Hirdetés

Van olyan tanácsadó, aki pénzt hoz?!

Pedig külső szemlélőként csak annyit mutat meg, hogy miből van hiány és miből van fölösleg. Ám ha szoftverlicencekről van szó, ez százmilliókat is érhet – megtakarításban.

Érdemes-e használt szoftvert venni a vállalatnak? És ha igen, hogyan? Egy biztos, nem úgy, mint egy használt autót.

a melléklet támogatója az IPR-Insights

Nem általában a távmunkáé, hanem a mostani tipikus távmunka-helyzeteké. A szervezetek arra nem voltak felkészülve, hogy mindenki otthonról dolgozik.

Alapjaiban kell megújítani a biztonságról kialakított felfogásunkat

Tavaly január végétől megszűnt a Java SE 8 ingyenes frissítése, és a Java SE 11 sem használható ingyenesen üzleti célra. Tanácsok azoknak, akik még nem találtak megoldást. Hegedüs Tamás (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2020 Bitport.hu Média Kft. Minden jog fenntartva.