Quase todos os usuários, funções, serviços e recursos da nuvem concedem permissões excessivas, deixando as organizações vulneráveis à expansão de ataques em caso de comprometimento, revelou um novo relatório da Unit 42 de Palo Alto. A pesquisa do fornecedor de segurança descobriu que o gerenciamento de identidade e acesso (IAM) mal configurado está abrindo as portas para agentes mal-intencionados que visam a infraestrutura de nuvem e credenciais em ataques.
As descobertas indicam que, quando se trata de IAM na nuvem, as organizações estão lutando para implementar uma boa governança. O relatório também identifica cinco grupos de ataque que foram detectados visando ambientes de nuvem e revela seus métodos de ataque.
99% das identificações na nuvem são muito permissivas
Em ‘Identity and Access Management: The First Line of Defense’, os pesquisadores da Unit 42 analisaram mais de 680.000 identidades em 18.000 contas de nuvem e mais de 200 organizações diferentes para entender suas configurações e padrões de uso. Ele revelou que 99% dos usuários, funções, serviços e recursos da nuvem concederam “permissões excessivas” que não foram utilizadas por 60 dias. Os adversários que comprometem essas identidades podem aproveitar essas permissões para se mover lateralmente ou verticalmente e expandir o raio de ataque, segundo o relatório.
Os dados da Unit 42 mostraram que havia duas vezes mais permissões não utilizadas ou excessivas nas Políticas de Segurança de Conteúdo (CSPs) integradas em comparação com as políticas criadas pelo cliente. “A remoção dessas permissões pode reduzir significativamente o risco que cada recurso de nuvem expõe e minimizar a superfície de ataque de todo o ambiente de nuvem”. No entanto, a segurança na nuvem está sendo prejudicada pelo IAM mal implementado e pelo gerenciamento de credenciais, afirmou o relatório.
A Unit 42 disse que as configurações incorretas estão por trás de 65% dos incidentes de segurança na nuvem detectados, enquanto 53% das contas na nuvem analisadas permitiram o uso fraco de senhas e 44% permitiram a reutilização de senhas, segundo o relatório. Além disso, quase dois terços (62%) das organizações tiveram recursos de nuvem expostos publicamente. “As configurações incorretas na identidade do usuário, função ou políticas de grupo em uma plataforma de nuvem podem aumentar significativamente o cenário de ameaças da arquitetura de nuvem de uma organização”, e esses são vetores que os adversários procuram constantemente explorar, disse a Unit 42. “Todos os agentes de ameaças de nuvem que identificamos tentaram coletar credenciais de nuvem ao comprometer um servidor, contêiner ou laptop. Uma credencial vazada com permissões excessivas pode dar aos invasores uma chave para o reino”.
Unit 42 identifica cinco grupos de ataques direcionados à infraestrutura em nuvem
A Unit 42 detectou e identificou cinco agentes de ameaças utilizando técnicas exclusivas de escalonamento e coletando credenciais para direcionar diretamente as plataformas de serviço em nuvem. Destes, três realizaram operações específicas de contêiner, incluindo descoberta de permissão e descoberta de recursos de contêiner, dois realizaram operações de escape de contêiner e todos os cinco coletaram credenciais de plataforma de contêiner ou serviço de nuvem como parte de seus procedimentos operacionais. São eles:
– TeamTNT: Considerado o ator de ameaças na nuvem mais sofisticado em termos de técnicas de enumeração de identidade na nuvem, as operações deste grupo incluem movimentação lateral dentro de clusters Kubernetes, estabelecimento de botnets de IRC e o sequestro de recursos de carga de trabalho de nuvem comprometidos para minerar a criptomoeda Monero.
– WatchDog: Embora tecnicamente adepto, este grupo está disposto a sacrificar a habilidade para facilitar o acesso, disse a Unit 42. Ele usa scripts Go personalizados, bem como scripts de cryptojacking reaproveitados de outros grupos (incluindo TeamTNT) e são um grupo de ameaças oportunistas que tem como alvo instâncias e aplicativos de nuvem expostos.
– Kinsing: Outro agente de ameaças na nuvem oportunista com grande potencial para coleta de credenciais na nuvem, esse grupo tem como alvo APIs expostas do Docker Daemon usando processos maliciosos baseados em GoLang executados em contêineres Ubuntu e começou a expandir suas operações fora dos contêineres Docker, visando especificamente arquivos de credenciais de contêiner e nuvem contidos em cargas de trabalho de nuvem comprometidas.
– Rocke: Um grupo “velho” que está aprimorando as técnicas de enumeração de endpoints em nuvem, Rocke é especializado em operações de ransomware e cryptojacking em ambientes de nuvem e é conhecido por usar o poder de computação de sistemas baseados em Linux comprometidos, normalmente hospedados em infraestrutura de nuvem.
– 8220: Primo de Rocke, este grupo está adotando contêineres em seu conjunto de metas. As ferramentas comumente empregadas durante suas operações são PwnRig ou DBUsed, que são variantes personalizadas do software de mineração XMRig Monero. Acredita-se que o grupo tenha se originado de um fork do GitHub do software do grupo Rocke.
IAM configura incorretamente um ponto de entrada comum
A Unit 42 aconselhou as organizações a abordar as vulnerabilidades do IAM para proteger suas infraestruturas de nuvem. “O IAM configurado corretamente pode bloquear o acesso não intencional, fornecer visibilidade das atividades na nuvem e reduzir o impacto quando ocorrem incidentes de segurança”, afirmou. “No entanto, manter o IAM no estado mais seguro é um desafio devido à sua natureza dinâmica e complexidade. Historicamente, as configurações incorretas do IAM têm sido o ponto de entrada e o pivô que os cibercriminosos exploram com mais frequência”.
Para ajudar na defesa de ambientes de nuvem contra agentes de ameaças, a Unit 42 disse que as organizações devem implementar plataformas de proteção de aplicativos nativas da nuvem (CNAPP), focar no fortalecimento das permissões do IAM e aumentar a automação da segurança.
