{"id":524,"date":"2024-10-08T21:14:27","date_gmt":"2024-10-08T21:14:27","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=524"},"modified":"2024-10-08T21:14:27","modified_gmt":"2024-10-08T21:14:27","slug":"grosangelegte-cyberattacke-auf-aws","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=524","title":{"rendered":"Gro\u00dfangelegte Cyberattacke auf AWS"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Forscher decken Sicherheitsl\u00fccken in Webanwendungen auf. Zugangsschl\u00fcssel u.\u00e4. wurden gestohlen.\n

Photo For Everything \u2013 shutterstock.com<\/p>\n<\/div>\n

Amazon Web Services (AWS) wurde Ziel einer Cyberattacke. Im Zuge der Attacke sammelten die Aggressoren AWS-Schl\u00fcssel und Zugriffstoken f\u00fcr verschiedene Cloud-Dienste aus Umgebungsvariablen. Die Daten waren in Zehntausenden von Webanwendungen unsicher gespeichert waren.<\/p>\n

Ungesichert und kompromittiert<\/h3>\n

Forscher des Security-Anbieters Palo Alto Networks haben\u00a0aufgedeckt<\/a>, wie die Angreifer vorgegangen sind. Die Kriminellen nutzten unsicher gespeicherte .env-Dateien auf Webservern aus, um AWS-Ressourcen zu kompromittieren. Diese Dateien enthielten sensible Daten wie AWS-Zugangsschl\u00fcssel, Datenbank-Anmeldeinformationen und API-Schl\u00fcssel.<\/p>\n

Unter anderem entwendeten die Eindringlinge 1.185 einzigartige AWS-Zugangsschl\u00fcssel, 333 PayPal OAuth-Tokens, 235 GitHub-Tokens, 111 HubSpot-API-Schl\u00fcssel, 39 Slack-Webhooks und 27 DigitalOcean-Tokens.<\/p>\n

Insgesamt sammelten die Hacker .env-Dateien von etwa 110.000 Domains. Zus\u00e4tzlich deckten sie \u00fcber 90.000 einzigartige Umgebungsvariablen auf. 7.000 der Variablen geh\u00f6rten dabei Unternehmen. Nicht alle Lecks enthielten sensible Informationen, aber alle gaben Details \u00fcber die interne Infrastruktur der Opfer preis.<\/p>\n

.dot, .git und .env sollten sicher sein<\/h3>\n

Diese Dateien sind f\u00fcr Angreifer lukrativ, da Webentwicklungs-Frameworks und Webanwendungen wichtige Konfigurationsdaten in ihnen speichern. Deshalb sollten Webserver so konfiguriert sein, dass der Zugriff auf .dot-Dateien standardm\u00e4\u00dfig verhindert wird. Grund hierf\u00fcr ist, dass es sich um versteckte Dateien handelt, die niemals f\u00fcr die \u00d6ffentlichkeit zug\u00e4nglich sein sollten.<\/p>\n

Es kommt jedoch immer wieder zu Fehlkonfigurationen. Ein weiteres Beispiel f\u00fcr einen Ordner, der nicht \u00f6ffentlich zug\u00e4nglich sein sollte, tr\u00e4gt die Kennzeichnung .git. In ihm sind wichtige Konfigurationsinformationen f\u00fcr Git gespeichert, ein Versionskontrollsystem f\u00fcr Quellcode.<\/p>\n

Das .env- oder .git-Dateien ein Sicherheitsrisiko darstellen, sollten sie versehentlich offengelegt werden, ist\u00a0bekannt<\/a>. Nutzer wissen dies ebenfalls und setzen daher Web-Crawler auf der Suche nach solchen offengelegten Dateien im Stammordner von Dom\u00e4nen ein. Das Ausma\u00df des aufgedeckten AWS-Hacks l\u00e4sst jedoch vermuten, dass solche Fehlkonfigurationen nach wie vor weit verbreitet sind.<\/p>\n

Ausgabe per Windows<\/h3>\n

So versuchten die Angreifer, nachdem sie eine privilegierte IAM-Rolle erstellt hatten, Infrastrukturstapel mit EC2- und AWS-Lambda-Ressourcen zu erstellen. W\u00e4hrend die Erstellung von EC2-Instanzen fehlschlug, gelang es ihnen, mehrere Lambda-Funktionen mit der neuen IAM-Rolle zu erstellen. Diese Funktionen nutzten ein Bash-Skript, das nach exponierten .env-Dateien suchte, Anmeldedaten extrahierte und in einen zuvor kompromittierten \u00f6ffentlichen S3-Bucket hochlud. Das Skript zielte insbesondere auf Mailgun-Anmeldedaten ab.<\/p>\n

Die Forscher entdeckten, dass die Angreifer \u00fcber 230 Millionen Ziele nach unsicher konfigurierten .env-Dateien durchsucht hatten. Ein solches Ausma\u00df weist auf eine gro\u00df angelegte automatisierte Aktion hin.<\/p>\n

Nachdem die Kriminellen Anmeldeinformationen f\u00fcr S3-Buckets erlangt hatten, nutzten sie das Windows-Tool S3 Browser, um die Daten abzuziehen. Als ihre Ziele heruntergeladen waren, l\u00f6schten sie Original-Dateien und hinterlie\u00dfen eine L\u00f6segelddatei. In dieser drohten sie damit, die gestohlenen Daten zu verkaufen, falls kein L\u00f6segeld gezahlt w\u00fcrde.<\/p>\n

Die Attacken wurden meist anonym \u00fcber das Tor-Netzwerk, \u00f6ffentliche VPNs oder andere kompromittierte AWS-Konten durchgef\u00fchrt. Die Forscher konnten jedoch zwei direkte Verbindungen von IP-Adressen in der Ukraine und Marokko feststellen.<\/p>\n

H\u00f6here Kosten f\u00fcr mehr Schutz<\/h3>\n

Als Reaktion auf den Diebstahl empfehlen die Forscher von Palo Alto Networks Unternehmen, die S3- und CloudTrail-Protokollierung f\u00fcr S3-Bucket-Ereignisse zu aktivieren. Auch\u00a0externe Tools<\/a>, um den Quellcode zu sichern, k\u00f6nnen helfen. Hiermit lassen sich Vorf\u00e4lle forensisch untersuchen und genau nachvollziehen.<\/p>\n

Unternehmen sollten zudem sicherstellen, dass sie die genutzten AWS-Services aktiv protolollieren und die Daten mindestens 90 Tage lang aufbewahrt werden. Anschlie\u00dfend sollte der Fokus darauf gelegt werden, diese Protokolldaten kontinuierlich zu \u00fcberwachen.<\/p>\n

Der GuardDuty-Service von AWS bietet dar\u00fcber hinaus einige Warnfunktionen f\u00fcr den Missbrauch von Anmeldeinformationen und EC2-Ressourcen. So k\u00f6nnen Unternehmen in ihm eigene Warnungen f\u00fcr abnormale Aktivit\u00e4ten in Protokolldaten erstellen.<\/p>\n

Die Forscher raten abschlie\u00dfend dringend davon ab, langfristige IAM-Zugriffsschl\u00fcssel in Anwendungen zu verwenden. Stattdessen sollten AWS-Kunden auf IAM-Rollen setzen, die nur tempor\u00e4ren Zugriff erm\u00f6glichen. (tf)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Forscher decken Sicherheitsl\u00fccken in Webanwendungen auf. Zugangsschl\u00fcssel u.\u00e4. wurden gestohlen. Photo For Everything \u2013 shutterstock.com Amazon Web Services (AWS) wurde Ziel einer Cyberattacke. Im Zuge der Attacke sammelten die Aggressoren AWS-Schl\u00fcssel und Zugriffstoken f\u00fcr verschiedene Cloud-Dienste aus Umgebungsvariablen. Die Daten waren in Zehntausenden von Webanwendungen unsicher gespeichert waren. Ungesichert und kompromittiert Forscher des Security-Anbieters Palo […]<\/p>\n","protected":false},"author":0,"featured_media":525,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-524","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/524"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=524"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/524\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/525"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=524"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=524"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=524"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}