Atacantes estão explorando aplicações web mal configuradas, utilizadas para treinamentos de segurança e testes internos de penetração, como DVWA, OWASP Juice Shop, Hackazon e bWAPP, para obter acesso a ambientes de nuvem de grandes empresas e fornecedores de segurança, incluindo companhias da Fortune 500.
Uma investigação conduzida pela Pentera, empresa especializada em testes automatizados de penetração, revelou evidências de que hackers têm explorado essa vulnerabilidade para comprometer sistemas, implantar mineradores de criptomoedas, inserir webshells e se movimentar lateralmente até acessar sistemas sensíveis.
Essas aplicações de teste são propositalmente vulneráveis e representam um risco significativo quando expostas na internet pública e executadas em contas com privilégios elevados na nuvem.
Os pesquisadores da Pentera identificaram 1.926 aplicações vulneráveis ativas e expostas publicamente, frequentemente associadas a papéis IAM (Identity and Access Management) com permissões excessivas, em ambientes AWS, GCP e Azure.
Segundo a Pentera, as aplicações expostas pertencem a diversas empresas da Fortune 500, incluindo Cloudflare, F5 e Palo Alto Networks, que foram notificadas e já corrigiram as falhas.
Em muitos casos, essas instâncias revelavam credenciais de acesso à nuvem, não adotavam a prática recomendada de “least privilege” e, em mais da metade dos casos, ainda utilizavam credenciais padrão, facilitando a tomada de controle.
As credenciais encontradas poderiam conceder aos invasores acesso total a buckets S3, GCS e Azure Blob Storage, permissões de leitura e escrita no Secrets Manager, interação com registries de containers e acesso administrativo à infraestrutura na nuvem.
“Durante a investigação, encontramos evidências claras de que atacantes estão ativamente explorando esses vetores em ambientes reais — implantando mineradores de criptomoedas, webshells e mecanismos de persistência em sistemas comprometidos”, afirmam os pesquisadores.
Provas de comprometimento foram identificadas em diversas aplicações mal configuradas.
Os pesquisadores conseguiram estabelecer shells nessas máquinas e mapear dados para tentar identificar os responsáveis pelos recursos.
Entre as 616 instâncias DVWA descobertas, cerca de 20% continham artefatos implantados por agentes maliciosos, segundo o relatório.
A atividade de mineração de criptomoedas utilizava a ferramenta XMRig para minerar Monero (XMR) em segundo plano.
Também foi detectado um mecanismo avançado de persistência por meio de um script chamado ‘watchdog.sh’.
Caso fosse deletado, o script era automaticamente restaurado a partir de um backup codificado em base64 e baixava novamente o XMRig do GitHub.
Além disso, esse script realizava o download, a partir de uma conta no Dropbox, de outras ferramentas criptografadas com AES-256 e eliminava mineradores concorrentes presentes no host comprometido.
Em outros casos, foi identificado o uso de um webshell em PHP chamado ‘filemanager.php’, que permite operações como leitura, gravação, exclusão, download e upload de arquivos, além da execução de comandos.
O webshell continha credenciais de autenticação codificadas e estava configurado para o fuso horário Europa/Minsk (UTC+3), possível indicação da origem dos operadores.
A Pentera destaca que esses artefatos maliciosos foram descobertos após a notificação às empresas Cloudflare, F5 e Palo Alto, que prontamente corrigiram as vulnerabilidades.
Os pesquisadores recomendam que as organizações mantenham um inventário completo de todos os recursos em nuvem, incluindo aplicações de teste, isolando-os dos ambientes de produção.
Além disso, é fundamental aplicar roles IAM com privilégios mínimos em sistemas não produtivos, alterar credenciais padrão e configurar expiração automática para recursos temporários.
O relatório da Pentera detalha passo a passo a investigação, apresentando as ferramentas e técnicas utilizadas para identificar instâncias vulneráveis e seus respectivos responsáveis.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...