Các ứng dụng đào tạo cố ý có lỗ hổng được sử dụng rộng rãi cho giáo dục bảo mật, kiểm thử nội bộ và trình diễn sản phẩm. Các công cụ như OWASP Juice Shop, DVWA, Hackazon và bWAPP được thiết kế không an toàn theo mặc định, giúp ích cho việc học cách các kỹ thuật tấn công phổ biến hoạt động trong môi trường được kiểm soát.
Vấn đề không nằm ở bản thân các ứng dụng mà là cách chúng thường được triển khai và duy trì trong các môi trường cloud thực tế.
Pentera Labs đã kiểm tra cách các ứng dụng đào tạo và demo được sử dụng trên các cơ sở hạ tầng cloud và xác định một mô hình lặp lại: các ứng dụng dành cho việc sử dụng trong phòng thí nghiệm biệt lập thường xuyên bị lộ ra Internet công cộng, chạy trong các tài khoản cloud đang hoạt động và được kết nối với các định danh cloud có quyền truy cập rộng hơn mức cần thiết.
Các Mô hình triển khai được quan sát trong nghiên cứu
Nghiên cứu của Pentera Labs cho thấy các ứng dụng này thường được triển khai với cấu hình mặc định, cách ly tối thiểu và các vai trò cloud quá rộng quyền. Cuộc điều tra đã phát hiện ra rằng nhiều môi trường đào tạo bị lộ này được kết nối trực tiếp với các định danh cloud đang hoạt động và các vai trò đặc quyền, cho phép kẻ tấn công vượt xa các ứng dụng dễ bị tổn thương và có khả năng xâm nhập vào cơ sở hạ tầng cloud rộng lớn hơn của khách hàng.
Trong các kịch bản này, một ứng dụng đào tạo bị lộ duy nhất có thể đóng vai trò là điểm đột nhập ban đầu. Khi kẻ tấn công có thể tận dụng các định danh cloud được kết nối và các vai trò đặc quyền, chúng không còn bị ràng buộc bởi ứng dụng hoặc máy chủ gốc. Thay vào đó, chúng có thể giành quyền tương tác với các tài nguyên khác trong cùng môi trường cloud, làm tăng đáng kể phạm vi và tác động tiềm tàng của cuộc tấn công.
Trong khuôn khổ cuộc điều tra, Pentera Labs đã xác minh gần 2.000 phiên bản ứng dụng đào tạo đang hoạt động, bị lộ, với gần 60% được lưu trữ trên cơ sở hạ tầng do khách hàng quản lý chạy trên AWS, Azure hoặc GCP.
Bằng chứng về việc khai thác tích cực
Các môi trường đào tạo bị lộ được xác định trong nghiên cứu không chỉ đơn thuần là cấu hình sai. Pentera Labs đã quan sát thấy bằng chứng rõ ràng cho thấy kẻ tấn công đang tích cực khai thác lỗ hổng này trong thực tế.
Trên tập dữ liệu rộng hơn của các ứng dụng đào tạo bị lộ, khoảng 20% các phiên bản được phát hiện chứa các artifacts được triển khai bởi các tác nhân độc hại, bao gồm hoạt động crypto-mining, webshells và các cơ chế persistence. Các artifacts này cho thấy sự xâm nhập trước đó và việc lạm dụng liên tục các hệ thống bị lộ.
Sự hiện diện của các công cụ crypto-mining và persistence đang hoạt động chứng tỏ rằng các ứng dụng đào tạo bị lộ không chỉ có thể bị phát hiện mà còn đang bị khai thác ở quy mô lớn.
Phạm vi tác động
Các môi trường bị lộ và bị khai thác được xác định trong nghiên cứu không giới hạn ở các hệ thống kiểm thử nhỏ hoặc biệt lập. Pentera Labs đã quan sát mô hình triển khai này trên các môi trường cloud liên quan đến các tổ chức Fortune 500 và các nhà cung cấp an ninh mạng hàng đầu, bao gồm Palo Alto, F5 và Cloudflare.
Mặc dù các môi trường riêng lẻ khác nhau, nhưng mô hình cơ bản vẫn nhất quán: một ứng dụng đào tạo hoặc demo được triển khai mà không có sự cách ly đầy đủ, bị bỏ mặc công khai và được kết nối với các định danh cloud đặc quyền.
Tại sao điều này quan trọng
Môi trường đào tạo và demo thường được coi là tài sản rủi ro thấp hoặc tạm thời. Do đó, chúng thường bị loại khỏi các quy trình giám sát bảo mật tiêu chuẩn, xem xét quyền truy cập và quản lý vòng đời. Theo thời gian, các môi trường này có thể vẫn bị lộ rất lâu sau khi mục đích ban đầu của chúng đã qua.
Nghiên cứu cho thấy việc khai thác không yêu cầu các lỗ hổng zero-day hoặc các kỹ thuật tấn công nâng cao. Thông tin đăng nhập mặc định, các điểm yếu đã biết và việc phơi bày công khai là đủ để biến các ứng dụng đào tạo thành một điểm đột nhập để truy cập cloud rộng hơn.
Việc gắn nhãn một môi trường là “training” hoặc “test” không làm giảm rủi ro của nó. Khi bị lộ ra Internet và được kết nối với các định danh cloud đặc quyền, các hệ thống này trở thành một phần bề mặt tấn công hiệu quả của tổ chức.
Tham khảo blog nghiên cứu đầy đủ của Pentera Labs & tham gia hội thảo trực tuyến vào ngày 12 tháng 2 để tìm hiểu thêm về phương pháp luận, quy trình khám phá và việc khai thác thực tế được quan sát trong nghiên cứu này.
Bài viết này được viết bởi Noam Yaffe, Chuyên gia nghiên cứu bảo mật cấp cao tại Pentera Labs. Mọi câu hỏi hoặc thảo luận, vui lòng liên hệ [email protected]
