Kesalahan Konfigurasi Cloud Umum Dieksploitasi dalam Menit, Laporkan

Layanan cloud yang dikonfigurasi dengan buruk dapat dimanfaatkan oleh pelaku ancaman dalam hitungan menit dan terkadang dalam waktu kurang dari 30 detik. Serangan termasuk intrusi jaringan, pencurian data dan infeksi ransomware, para peneliti telah menemukan.

Peneliti di Unit 42 Palo Alto Networks menggunakan infrastruktur honeypot dari 320 node yang disebarkan secara global di mana mereka salah mengonfigurasi layanan utama dalam cloud–termasuk protokol desktop jarak jauh (RDP), secure shell protocol (SSH), server message block (Samba) dan database Postgres.

Apa yang mereka temukan adalah bahwa penyerang mengambil kesempatan untuk mengeksploitasi kesalahan konfigurasi, dengan 80 persen dari 320 honeypots disusupi dalam 24 jam dan semuanya dikompromikan dalam waktu seminggu, peneliti mengungkapkan dalam sebuah laporan yang diposting Monday.

Selain itu, beberapa serangan terjadi dalam beberapa menit, dengan satu aktor ancaman yang sangat cepat membahayakan 96 persen dari 80 honeypots secara global dalam waktu 30 detik, para peneliti menemukan.

Mengingat bahwa kecepatan organisasi biasanya mengelola kerentanan biasanya diukur dalam beberapa hari atau bulan, “fakta yang dapat ditemukan dan dikompromikan oleh penyerang mise honeypots kami dalam hitungan menit sangat mengejutkan,” tulis peneliti keamanan cloud utama Unit 42 Jay Chen dalam postingannya.

Kesalahan Cloud Umum

Studi ini dengan jelas menunjukkan seberapa cepat kesalahan konfigurasi umum ini dapat menyebabkan pelanggaran data atau penyerang menjatuhkan seluruh jaringan—mengingat bahwa “ sebagian besar layanan yang terhubung ke internet ini terhubung ke beberapa beban kerja cloud lainnya, ”tulis Chen. Ini memperkuat pentingnya mengurangi dan menambal masalah keamanan dengan cepat, katanya.

“Ketika layanan yang salah dikonfigurasi atau rentan terpapar ke internet, penyerang hanya perlu beberapa menit untuk menemukan dan mengkompromikan layanan tersebut,” tulis Chen. “Tidak ada margin kesalahan dalam hal waktu perbaikan keamanan.”

Memang, sejumlah insiden cyber tingkat tinggi telah terjadi karena layanan cloud yang salah dikonfigurasi. Tahun ini saja dua gerai komersial populer—rantai ritel Hobby Lobby dan toko grosir Wegman—mengalami pelanggaran data terpisah karena jenis kesalahan ini.

Hobby Lobby mengekspos data pelanggan karena kesalahan konfigurasi cloud-bucket, sementara data pelanggan Wegman juga membocorkan karena dua database berbasis cloud-nya salah dikonfigurasi.

Luring Attackers

Unit 42 melakukan studi kesalahan konfigurasi cloud saat ini antara Juli 2021 dan Agustus 2021, menyebarkan 320 honeypot dengan distribusi SSH, Samba, Postgres, dan RDP yang merata di empat wilayah–Amerika Utara (NA), Asia Pasifik (APAC) dan Eropa (UE). Penelitian mereka menganalisis waktu, frekuensi, dan asal serangan yang diamati selama waktu itu di infrastruktur.

Untuk memikat penyerang, peneliti sengaja mengonfigurasi beberapa akun dengan kredensial lemah seperti admin:admin, guest:guest, administrator:password, yang diberikan terbatas akses ke aplikasi di lingkungan kotak pasir. Mereka mengatur ulang honeypots setelah peristiwa yang membahayakan—yaitu, ketika aktor ancaman berhasil diautentikasi melalui salah satu kredensial dan memperoleh akses ke aplikasi.

Researchers juga memblokir daftar IP pemindai yang diketahui pada subset honeypots, memperbarui kebijakan firewall sekali sehari berdasarkan pada lalu lintas pemindaian jaringan yang diamati.

Tim menganalisis serangan menurut berbagai pola serangan, termasuk: waktu yang dibutuhkan penyerang untuk menemukan dan mengkompromikan layanan baru; waktu rata-rata antara dua peristiwa kompromi berturut-turut dari aplikasi yang ditargetkan; jumlah IP penyerang yang diamati pada honeypot; dan jumlah hari IP penyerang diamati.

Hasil Spesifik

Hasil penelitian menunjukkan bahwa honeypots Samba adalah yang paling cepat diserang, serta yang memiliki penyerang yang mengganggu layanan secara berurutan dengan kecepatan paling tinggi.

Namun, SSH adalah layanan yang salah konfigurasi dengan jumlah penyerang tertinggi, mengalami sejumlah penyerang dan peristiwa kompromi yang jauh lebih tinggi daripada tiga aplikasi lainnya, para peneliti melaporkan. Honeypot SSH yang paling banyak diserang dikompromikan 169 kali dalam satu hari, sementara rata-rata, setiap honey SSH mengalami 26 serangan setiap hari, mereka menemukan.

Researchers juga melacak serangan menurut wilayah, dengan Samba dan RDP mendapatkan serangan terbanyak dari Amerika Utara, sementara serangan dari APAC lebih sering menargetkan Postgres dan SSH. IP yang sama untuk meluncurkan serangan, tulis Chen.

Menghindari Kesalahan Common Cloud

Kabar baik bagi organisasi yang membuat kesalahan konfigurasi cloud umum yang dapat dengan mudah dieksploitasi adalah bahwa kesalahan tersebut juga mudah dihindari, kata para peneliti. Chen membuat daftar beberapa rekomendasi untuk administrator sistem agar tidak membiarkan layanan terkena serangan.

Untuk melindungi layanan agar tidak dihantam oleh IP penyerang, administrator cloud dapat menerapkan pagar pembatas untuk mencegah port yang diistimewakan dibuka, serta membuat aturan audit untuk memantau semua yang terbuka port dan layanan yang terbuka.

Researchers juga menyarankan agar admin membuat aturan respons dan perbaikan otomatis untuk memperbaiki kesalahan konfigurasi secara otomatis dan menerapkan firewall generasi berikutnya untuk memblokir lalu lintas berbahaya.

Keamanan siber untuk lingkungan multi-cloud terkenal menantang. OSquery dan CloudQuery adalah jawaban yang solid. Bergabunglah dengan Uptycs dan Threatpost untuk “Pengantar OSquery dan CloudQuery,” Balai Kota sesuai permintaan dengan Eric Kaiser, insinyur keamanan senior Uptycs, dan cari tahu bagaimana alat sumber terbuka ini dapat membantu menjinakkan keamanan di seluruh kampus organisasi Anda.

Register SEKARANG untuk mengakses acara sesuai permintaan!
Tulis komentar
Bagikan artikel ini:

  • News
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: