Các nhà nghiên cứu đã tạo ra cuộc tấn công bằng chứng cho phép các đối thủ không được xác thực trích xuất thông tin xác thực người dùng từ máy chủ proxy được định cấu hình sai để xóa, thao tác hoặc trích xuất dữ liệu từ các trang web và ứng dụng.

Cuộc tấn công bằng chứng (PoC) nhắm vào các khách hàng đám mây lớn của các dịch vụ như Amazon Web Services, Microsoft Azure và Google Cloud, theo các nhà nghiên cứu tại RedLock đã xuất bản một báo cáo về những phát hiện của họ thứ ba .

Tương tự như các nhóm lưu trữ bị định cấu hình sai khiến các doanh nghiệp có dữ liệu bị rò rỉ, cuộc tấn công PoC này lợi dụng cấu hình mặc định chung được sử dụng bởi dịch vụ đám mây hàng đầu và thường không thay đổi bởi quản trị viên trang web

PoC nhắm mục tiêu API cung cấp quyền truy cập vào siêu dữ liệu được liên kết với các dịch vụ nhận dạng như Quản lý nhận dạng và truy cập AWS (IAM), Bản sắc dịch vụ được quản lý Azure của Microsoft (MSI) và Cloud Cloud IAM của Google. “[These] là các tính năng mà… đơn giản hóa nhiệm vụ tạo và phân phối thông tin đăng nhập và là các tính năng phổ biến với các nhà phát triển”, RedLock viết. Như PoC đã chứng minh, các đối thủ cũng có thể lạm dụng chúng.

Gaurav Kumar, RedLock CTO, đã chia sẻ một ví dụ về PoC với Threatpost.

“Ví dụ, máy chủ WordPress sử dụng thông tin đăng nhập để thực hiện những việc như kết nối với các dịch vụ đám mây khác. Một trang web có thể sử dụng thông tin đăng nhập IAM để tự động kết nối với một nhóm lưu trữ AWS để sao lưu dữ liệu giao dịch hàng ngày, ”Kumar nói trong một cuộc phỏng vấn với Threatpost.

Kumar cho biết thông tin đăng nhập IAM dựa vào API máy chủ web để liên kết các dịch vụ đám mây. Bằng cách sử dụng một lệnh CURL đơn giản, các thông tin vai trò IAM có sẵn miễn phí cho các chương trình để có được, các nhà nghiên cứu cho biết.

Và đó là nơi RedLock cho biết việc lạm dụng thông tin API và IAM có thể xảy ra.

Trong cuộc tấn công PoC của nó, các nhà nghiên cứu đã tạo ra một cấu hình điển hình cho máy chủ web hoặc máy chủ ứng dụng bằng máy chủ proxy ngược chạy cài đặt NGINX mặc định. NGINX là phần mềm máy chủ web có thể được sử dụng như một proxy ngược. Máy chủ proxy ngược là một loại máy chủ truy xuất tài nguyên thay mặt cho khách hàng từ một hoặc nhiều máy chủ.

“Nhóm RedLock CSI có giả thuyết rằng một số proxy ngược trong môi trường AWS, MS Azure và Google Cloud được thiết lập sao cho bất kỳ ai cũng có thể đặt tiêu đề máy chủ để gọi API siêu dữ liệu mẫu và nhận thông tin đăng nhập”.

Kumar giải thích: “Khi một yêu cầu HTTP được gửi tới máy chủ proxy, nó chứa hướng dẫn cho máy chủ. Những gì chúng tôi quan sát được là máy chủ proxy đang đọc một giá trị từ tiêu đề máy chủ và đi đến đích đó và tìm nạp trang web. Nhưng kẻ tấn công có thể thao túng tiêu đề để yêu cầu tìm nạp dữ liệu khác trên máy chủ proxy, chẳng hạn như dữ liệu thông tin xác thực từ điểm cuối API. ”

Các nhà nghiên cứu cho biết các chương trình hoặc kẻ tấn công tiềm năng có thể sử dụng lệnh CURL đơn giản thông qua một URL cụ thể để truy cập thông tin đăng nhập vai trò IAM.

Dữ liệu thông tin đó có thể được sử dụng để truy cập các dịch vụ đám mây của bên thứ ba được liên kết với trang web hoặc ứng dụng như lưu trữ dữ liệu, cơ sở dữ liệu hoặc sao lưu trang web.

Kumar đưa ra giả thuyết về bối cảnh mối đe dọa của các máy chủ bị định cấu hình sai dễ bị tấn công là rất lớn cho các proxy ngược lại phổ biến trong các môi trường đám mây công cộng và trong các tổ chức di chuyển các ứng dụng tại chỗ lên đám mây

"Những gì chúng tôi tìm thấy là có một cấu hình rất phổ biến trong các máy chủ proxy ngược lại có thể rất có vấn đề," ông nói.

Nguy hiểm của việc tái sử dụng Container ảo

Các nhà nghiên cứu cũng đã tạo ra một "phương pháp khai thác thứ hai thậm chí còn đáng sợ hơn và có khả năng sâu rộng hơn." Loại tấn công PoC này liên quan đến kỹ thuật xã hội và hình ảnh Docker độc hại hơn.

PoC dựa trên Docker tạo ra một công cụ mã nguồn mở có thể đóng gói một ứng dụng và các phụ thuộc của nó trong một thùng chứa ảo có thể chạy trên bất kỳ máy chủ Linux nào. Các nhà phát triển chia sẻ hình ảnh docker trên các cửa hàng như Docker Hub, cho phép các nhà phát triển tiết kiệm thời gian bằng cách sử dụng các hình ảnh dựng sẵn cho các tác vụ thông thường cho phép họ tập trung vào các lĩnh vực chuyên môn của họ

“Giả sử một số nhà phát triển xảo quyệt tạo ra hình ảnh docker miễn phí, hữu ích, được tải xuống có tên là‘ X ’và các bài đăng trên Trung tâm Docker cùng với hàng triệu tài nguyên phổ biến khác. Sau đó, một ngày tốt đẹp, sau khi hàng nghìn hoặc hàng triệu lượt tải xuống dịch vụ miễn phí đã được triển khai, điều gì sẽ xảy ra nếu nhà phát triển độc hại này sửa đổi và tải lên phiên bản X cập nhật (điều này xảy ra mọi lúc và những người khác kéo phiên bản mới nhất hoặc thực hiện 'cuộc gọi' nó) bây giờ có chứa lệnh bất chính: 'ONBBUILD – ', "RedLock giải thích.

“Sử dụng API siêu dữ liệu cá thể, mọi ứng dụng được xây dựng dựa trên hình ảnh docker‘ X ’sẽ chạy tập lệnh này (malcious_script.sh) mà không biết đến chương trình phụ thuộc và sẽ yêu cầu thông tin xác thực vai trò IAM. Và đây là rủi ro, ”các nhà nghiên cứu cho biết.

nguồn
(https://threatpost.com/misconfigured-reverse-proxy-servers-spill-credentials/132085/)

Source link

Đưa ra một phản hồi

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây