Errores de configuración comunes en la nube explotados en minutos, informe - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Errores de configuración comunes en la nube explotados en minutos, informe

Hola, un placer verte por aquí. Yo soy Eduardo Arroyo y en el día de hoy hablaremos sobre Errores de configuración comunes en la nube explotados en minutos, informe

Errores de configuración comunes en la nube explotados en minutos, informe

Los atacantes oportunistas explotaron instantáneamente los servicios expuestos de manera insegura desplegados en honeypots por investigadores de la Unidad 42, demostrando el peligro inmediato de estos errores típicos.

Los agentes de amenazas pueden aprovechar los servicios en la nube mal configurados en minutos y, a veces, en menos de 30 segundos. Los ataques incluyen intrusiones en la red, robo de datos e infecciones de ransomware, encontraron los investigadores.

Los investigadores de la Unidad 42 de Palo Alto Networks utilizaron una infraestructura honeypot de 320 nodos distribuidos globalmente en los que configuraron incorrectamente servicios clave dentro de una nube, incluido el protocolo de escritorio remoto (RDP), el protocolo Secure Shell (SSH), el bloqueo de mensajes del servidor (Samba) y Postgres. Base de datos.

Lo que encontraron fue que los atacantes aprovecharon la oportunidad de explotar las configuraciones erróneas, con el 80 por ciento de 320 honeypots comprometidos en 24 horas y todos comprometidos en una semana, revelaron los investigadores. en una relación publicado el lunes.

Además, algunos ataques ocurrieron en cuestión de minutos, y un actor de amenazas particularmente acelerado comprometió el 96% de los 80 honeypots a nivel mundial en 30 segundos, encontraron los investigadores.

Dado que la velocidad a la que las organizaciones suelen lidiar con las vulnerabilidades generalmente se mide en días o meses, «el hecho de que los atacantes puedan encontrar y poner en peligro nuestros honeypots en minutos fue impactante», escribió el investigador principal en la publicación. Oficial de seguridad en la nube de la Unidad 42 Jay Chen.

El estudio muestra claramente la rapidez con la que estas configuraciones erróneas comunes pueden provocar violaciones de datos o la eliminación de una red completa por parte de los atacantes, ya que «la mayoría de estos servicios de Internet están conectados a otros. Cargas de trabajo en la nube», escribió Chen. Esto refuerza la importancia de mitigar y corregir rápidamente los problemas de seguridad, dijo.

«Cuando un servicio vulnerable o mal configurado se expone a Internet, los atacantes solo tardan unos minutos en descubrir y comprometer el servicio», escribió Chen. «No hay margen para el error cuando se trata de la sincronización de las correcciones de seguridad».

De hecho, ha habido docenas de incidentes cibernéticos de alto perfil debido a servicios en la nube mal configurados. Solo este año, dos tiendas minoristas populares, la cadena de tiendas Hobby Lobby y las tiendas de comestibles Wegman, experimentaron violaciones de datos independientes debido a este tipo de errores.

Hobby Lobby expuso los datos de los clientes debido a una mala configuración del depósito en la nube, mientras que los datos de los clientes de Wegman también se filtraron porque dos de sus bases de datos basadas en la nube estaban mal configuradas.

La Unidad 42 llevó a cabo el estudio actual de mala configuración de la nube entre julio de 2021 y agosto de 2021, implementando 320 honeypots con implementaciones uniformes de SSH, Samba, Postgres y RDP en cuatro regiones: América del Norte (NA), Asia Pacífico (APAC) y Europa (UE) . Su investigación analizó el tiempo, la frecuencia y el origen de los ataques observados durante ese período en la infraestructura.

Para atraer a los atacantes, los investigadores configuraron intencionalmente algunas cuentas con credenciales débiles, como administrador: administrador, invitado: invitado, administrador: contraseña, lo que otorgaba acceso limitado a la aplicación en un entorno de zona de pruebas. Restablecen los honeypots después de un evento comprometedor, que es cuando un actor de amenazas se ha autenticado con éxito utilizando una de sus credenciales y obtuvo acceso a la aplicación.

Los investigadores también bloquearon una lista de direcciones IP de escáner conocidas en un subconjunto de honeypots, actualizando las políticas de firewall una vez al día según el tráfico de escaneo de red observado.

El equipo analizó los ataques basándose en una variedad de patrones de ataque, que incluyen: el tiempo que les tomó a los atacantes descubrir y comprometer un nuevo servicio; el tiempo medio entre dos eventos comprometidos consecutivos de una aplicación objetivo; el número de direcciones IP de atacantes observadas en un honeypot; y el número de días que se observó la IP de un atacante.

Los resultados del estudio mostraron que los honeypots de Samba fueron los atacados más rápido, así como aquellos con atacantes que comprometieron los servicios de manera más consecutiva con la velocidad más rápida.

Sin embargo, SSH fue el servicio mal configurado con la mayoría de los atacantes, con un número mucho mayor de atacantes y eventos comprometedores que las otras tres aplicaciones, informaron los investigadores. El honeypot SSH más atacado se vio comprometido 169 veces en un solo día, mientras que, en promedio, cada miel SSH sufrió 26 ataques por día, encontraron.

Los investigadores también rastrearon los ataques por región, con Samba y RDP obteniendo la mayoría de los ataques de América del Norte, mientras que los ataques de APAC dirigidos a Postgres y SSH con mayor frecuencia, encontraron.

En general, el 85 por ciento de los ataques de honeypot se observaron en un solo día, lo que indicó a los investigadores que bloquear las direcciones IP de los escáneres conocidos es ineficaz para mitigar los ataques, ya que los atacantes rara vez reutilizan las mismas direcciones IP para lanzar ataques, escribió Chen.

La buena noticia para las organizaciones que cometen errores comunes en la configuración de la nube que pueden explotarse fácilmente es que también son fáciles de evitar, dijeron los investigadores. Chen enumeró varios consejos para que los administradores de sistemas eviten dejar los servicios vulnerables a los ataques.

Para proteger los servicios de las direcciones IP de los atacantes, los administradores de la nube pueden implementar una barrera para evitar que se abran los puertos privilegiados, así como crear reglas de control para monitorear todos los puertos abiertos y los servicios expuestos.

Los investigadores también sugirieron que los administradores creen reglas de respuesta y corrección automatizadas para corregir automáticamente las configuraciones incorrectas e implementar firewalls de próxima generación para bloquear el tráfico malicioso.

.

Recuerda compartir en tu Facebook para que tus amigos lo sepan

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *