Хакеры могут использовать такие разрешения для перемещения по сети жертвы и расширения поверхности атаки.
https://www.securitylab.ru/upload/ib...6e4ea33b21.png
Команда исследователей Palo Alto Unit 42 пришла к выводу, что облачные пользователи, роли, службы и ресурсы предоставляют чрезмерные разрешения, подвергая организации риску компрометации. По словам экспертов, неправильно настроенное управление идентификацией и доступом (IAM) открывает двери для злоумышленников, нацеленным на облачную инфраструктуру и учетные данные.
Исследователи Unit 42 проанализировали более 680 тыс. удостоверений в 18 тыс. облачных учетных записях и более чем 200 различных организациях с целью понять их конфигурации и модели использования. Как оказалось, 99% облачных пользователей, ролей, сервисов и ресурсов предоставили «чрезмерные разрешения», которые не использовались в течение 60 дней. Хакеры могут использовать такие разрешения для перемещения по сети жертвы и расширения радиуса атаки.
Неиспользуемых или избыточных разрешений во встроенных политиках безопасности контента (CSP) было в два раза больше, чем в политиках, созданных клиентами.
«Удаление этих разрешений может значительно снизить риск, которому подвергается каждый облачный ресурс, и свести к минимуму поверхность атаки для всей облачной среды», — отметили эксперты.
Неправильные настройки являются причиной 65% обнаруженных киберинцидентов в облаке, в то время как 53% проанализированных облачных учетных записи использовали ненадежный пароль, а 44% — повторно использовали пароли. Более того, почти две трети (62%) организаций имеют общедоступные облачные ресурсы.
Команда Unit 42 обнаружила и идентифицировала пять киберпреступных группировок, использующих уникальные методы для непосредственного нападения на платформы облачных сервисов.<ul><li>TeamTNT — самая опасная угроза с точки зрения методов подсчета облачных идентификаторов. Операции группировки включают перемещение внутри кластеров Kubernetes, создание ботнетов IRC и захват скомпрометированных ресурсов облачной рабочей нагрузки для майнинга криптовалюты Monero.</li>
</ul><ul><li>WatchDog — использует специально созданные скрипты на языке Go, а также перепрофилированные скрипты криптоджекинга от других группировок (включая TeamTNT) и представляет собой угрозу, нацеленную на открытые облачные экземпляры и приложения.</li>
</ul><ul><li>Kinsing — группировка, нацеленная на сбор облачных учетных данных, открытые API-интерфейсы Docker Daemon с использованием вредоносных процессов на основе GoLang в контейнерах Ubuntu.</li>
</ul><ul><li>Rocke — специализируется на операциях с программами-вымогателями и криптоджекингом в облачных средах и известна тем, что использует вычислительную мощность скомпрометированных систем на базе Linux, обычно размещенных в облачной инфраструктуре.</li>
</ul><ul><li>8220 — группировка использует инструменты PwnRig или DBUsed, которые представляют собой варианты программного обеспечения для майнинга XMRig Monero. Считается, что группировка возникла из форка GitHub программного обеспечения группировки Rocke.</li>
</ul>