Saldırganlar, genellikle iki dakika kadar kısa bir süre içinde açığa çıkmış “sırları” (kurumsal bulut ortamına erişime izin veren hassas bilgi parçaları) bulur ve çoğu durumda, kapsamlı bulut güvenliğine yönelik acil ihtiyacı vurgulayarak bunları neredeyse anında kullanmaya başlar. Orca Güvenlik.
Orca’nın araştırması, saldırganları cezbetmek için buluttaki yanlış yapılandırılmış kaynakları simüle eden dokuz farklı bulut ortamında “bal küplerinin” oluşturulmasıyla başlayarak Ocak ve Mayıs 2023 arasında gerçekleştirildi.
Bulut ortamları bal küpleri
Her biri gizli bir AWS anahtarı içeriyordu. Daha sonra Orca, en sık hangi bulut hizmetlerinin hedeflendiğini, saldırganların halka açık veya kolayca erişilebilen kaynaklara erişmesinin ne kadar sürdüğünü ve saldırganların bunları ne kadar sürede gerçekleştirdiğini öğrenmek için saldırganların yemi yutup yutmayacağını ve ne zaman kullanacağını görmek için her bir bal küpünü izledi. sızan sırları bulun ve kullanın.
Orca Security’de Bulut Tehdidi Araştırma Ekibi Lideri Bar Kaduri, “Taktikler kaynağa göre değişiklik gösterse de araştırmamız bir şeyi açıklığa kavuşturuyor: Bir sır açığa çıkarsa bundan yararlanılacaktır” dedi.
“Araştırmamız, saldırganların açığa çıkan sırları inanılmaz hızlı bulduklarını ve bunları silah haline getirmelerinin uzun sürmediğini gösteriyor. Bu ortamda savunucular, kesinlikle gerekli olmadıkça varlıklarının kamuya açık olmadığından ve sırların uygun şekilde yönetildiğinden emin olmalıdır,” diye devam etti Kaduri.
Orca, saldırganların bal küplerini hızlı bir şekilde bulmasını beklerken, araştırma ekibi bazılarının ne kadar çabuk bulunup istismar edildiğine hala şaşırmıştı.
Bal küpleri bulundu ve istismar edildi
Savunmasız varlıklar neredeyse anında keşfedilir
Yanlış yapılandırılmış ve güvenlik açığı bulunan varlıklar dakikalar içinde kelimenin tam anlamıyla keşfedilir. GitHub, HTTP ve SSH’de açığa çıkan sırların tümü beş dakikadan kısa sürede keşfedildi. AWS S3 Kovaları bir saatin altında keşfedildi.
Anahtar kullanım süresi, varlık türüne göre önemli ölçüde değişir
Orca, iki dakika içinde GitHub’da anahtar kullanımını gözlemledi, bu da açığa çıkan anahtarların neredeyse anında ele geçirildiği anlamına geliyor. Diğer varlıklar için süreç daha yavaştı; S3 Buckets için anahtar uzlaşma yaklaşık sekiz saat sürdü ve Elastic Container Registry için bu süreç yaklaşık dört ay sürdü.
Tüm varlıklara eşit muamele edilmez
Kaynak ne kadar popülerse, erişimi o kadar kolay ve hassas bilgiler içerme olasılığı o kadar yüksek, saldırganlar keşif yapmaya o kadar meyilli oluyor. SSH gibi belirli varlıklar, kötü amaçlı yazılım ve kripto madenciliği için yüksek oranda hedeflenir.
Savunucular, otomatik anahtar korumasına güvenmemelidir
Açığa çıkan AWS anahtar izinlerinin anında kilitlendiği GitHub dışında Orca, test edilen diğer kaynaklar için herhangi bir otomatik koruma algılamadı.
Hiçbir bölge güvenli değil
Gözlemlenen tüm AWS anahtarı kullanımının %50’si Amerika Birleşik Devletleri’nde gerçekleşmiş olsa da, kullanım Kanada, APAC, Avrupa ve Güney Amerika dahil olmak üzere hemen hemen her bölgede gerçekleşti.
Orca Security Araştırma Teknik Lideri Tohar Braun, “Kaynağa bağlı olarak saldırgan taktiklerindeki farklılıklar, savunucuların her durum için özel savunmalar kullanması gerektiğini gösteriyor” dedi.
Braun, “Rapor, saldırı tekniklerini ayrıntılı olarak açıklıyor ve sırların açığa çıkma riskini azaltmak için önerilen en iyi uygulamaları içeriyor.”