Picture For Every part – shutterstock.com
Amazon Net Companies (AWS) wurde Ziel einer Cyberattacke. Im Zuge der Attacke sammelten die Aggressoren AWS-Schlüssel und Zugriffstoken für verschiedene Cloud-Dienste aus Umgebungsvariablen. Die Daten waren in Zehntausenden von Webanwendungen unsicher gespeichert waren.
Ungesichert und kompromittiert
Forscher des Safety-Anbieters Palo Alto Networks haben aufgedeckt, wie die Angreifer vorgegangen sind. Die Kriminellen nutzten unsicher gespeicherte .env-Dateien auf Webservern aus, um AWS-Ressourcen zu kompromittieren. Diese Dateien enthielten smart Daten wie AWS-Zugangsschlüssel, Datenbank-Anmeldeinformationen und API-Schlüssel.
Unter anderem entwendeten die Eindringlinge 1.185 einzigartige AWS-Zugangsschlüssel, 333 PayPal OAuth-Tokens, 235 GitHub-Tokens, 111 HubSpot-API-Schlüssel, 39 Slack-Webhooks und 27 DigitalOcean-Tokens.
Insgesamt sammelten die Hacker .env-Dateien von etwa 110.000 Domains. Zusätzlich deckten sie über 90.000 einzigartige Umgebungsvariablen auf. 7.000 der Variablen gehörten dabei Unternehmen. Nicht alle Lecks enthielten smart Informationen, aber alle gaben Particulars über die interne Infrastruktur der Opfer preis.
.dot, .git und .env sollten sicher sein
Diese Dateien sind für Angreifer lukrativ, da Webentwicklungs-Frameworks und Webanwendungen wichtige Konfigurationsdaten in ihnen speichern. Deshalb sollten Webserver so konfiguriert sein, dass der Zugriff auf .dot-Dateien standardmäßig verhindert wird. Grund hierfür ist, dass es sich um versteckte Dateien handelt, die niemals für die Öffentlichkeit zugänglich sein sollten.
Es kommt jedoch immer wieder zu Fehlkonfigurationen. Ein weiteres Beispiel für einen Ordner, der nicht öffentlich zugänglich sein sollte, trägt die Kennzeichnung .git. In ihm sind wichtige Konfigurationsinformationen für Git gespeichert, ein Versionskontrollsystem für Quellcode.
Das .env- oder .git-Dateien ein Sicherheitsrisiko darstellen, sollten sie versehentlich offengelegt werden, ist bekannt. Nutzer wissen dies ebenfalls und setzen daher Net-Crawler auf der Suche nach solchen offengelegten Dateien im Stammordner von Domänen ein. Das Ausmaß des aufgedeckten AWS-Hacks lässt jedoch vermuten, dass solche Fehlkonfigurationen nach wie vor weit verbreitet sind.
Ausgabe per Home windows
So versuchten die Angreifer, nachdem sie eine privilegierte IAM-Rolle erstellt hatten, Infrastrukturstapel mit EC2- und AWS-Lambda-Ressourcen zu erstellen. Während die Erstellung von EC2-Instanzen fehlschlug, gelang es ihnen, mehrere Lambda-Funktionen mit der neuen IAM-Rolle zu erstellen. Diese Funktionen nutzten ein Bash-Skript, das nach exponierten .env-Dateien suchte, Anmeldedaten extrahierte und in einen zuvor kompromittierten öffentlichen S3-Bucket hochlud. Das Skript zielte insbesondere auf Mailgun-Anmeldedaten ab.
Die Forscher entdeckten, dass die Angreifer über 230 Millionen Ziele nach unsicher konfigurierten .env-Dateien durchsucht hatten. Ein solches Ausmaß weist auf eine groß angelegte automatisierte Aktion hin.
Nachdem die Kriminellen Anmeldeinformationen für S3-Buckets erlangt hatten, nutzten sie das Home windows-Device S3 Browser, um die Daten abzuziehen. Als ihre Ziele heruntergeladen waren, löschten sie Unique-Dateien und hinterließen eine Lösegelddatei. In dieser drohten sie damit, die gestohlenen Daten zu verkaufen, falls kein Lösegeld gezahlt würde.
Die Attacken wurden meist anonym über das Tor-Netzwerk, öffentliche VPNs oder andere kompromittierte AWS-Konten durchgeführt. Die Forscher konnten jedoch zwei direkte Verbindungen von IP-Adressen in der Ukraine und Marokko feststellen.
Höhere Kosten für mehr Schutz
Als Reaktion auf den Diebstahl empfehlen die Forscher von Palo Alto Networks Unternehmen, die S3- und CloudTrail-Protokollierung für S3-Bucket-Ereignisse zu aktivieren. Auch externe Instruments, um den Quellcode zu sichern, können helfen. Hiermit lassen sich Vorfälle forensisch untersuchen und genau nachvollziehen.
Unternehmen sollten zudem sicherstellen, dass sie die genutzten AWS-Companies aktiv protolollieren und die Daten mindestens 90 Tage lang aufbewahrt werden. Anschließend sollte der Fokus darauf gelegt werden, diese Protokolldaten kontinuierlich zu überwachen.
Der GuardDuty-Service von AWS bietet darüber hinaus einige Warnfunktionen für den Missbrauch von Anmeldeinformationen und EC2-Ressourcen. So können Unternehmen in ihm eigene Warnungen für abnormale Aktivitäten in Protokolldaten erstellen.
Die Forscher raten abschließend dringend davon ab, langfristige IAM-Zugriffsschlüssel in Anwendungen zu verwenden. Stattdessen sollten AWS-Kunden auf IAM-Rollen setzen, die nur temporären Zugriff ermöglichen. (tf)
