Shadow IT — os sistemas que sua equipe de segurança não conhece — é um desafio persistente.
Políticas podem proibi-los, mas ativos não gerenciados inevitavelmente escapam.
E se os defensors não os descobrirem primeiro, sempre há o risco de os atacantes o fazerem.
Com apenas alguns dias de esforço, a equipe de segurança da Intruder encontrou vários exemplos reais de exposições de Shadow IT: backups desprotegidos, repositórios Git abertos, painéis admin sem autenticação, entre outros.
Todos continham dados altamente sensíveis ou credenciais, e nenhum exigia exploração avançada.
Uma das maneiras mais eficazes de descobrir Shadow IT é a enumeração de subdomínios.
Desenvolvedores podem implantar novos sistemas livremente, mas para torná-los acessíveis, quase sempre precisam de um subdomínio.
Utilizamos os logs de Certificate Transparency (CT), um registro público de certificados TLS emitidos.
Ao executar consultas wildcard e buscar palavras-chave comuns como “git”, “backup” ou nomes de softwares populares, rapidamente identificamos cerca de 30 milhões de hosts para analisar.
A partir daí, usamos uma combinação de técnicas de fingerprinting e screenshots automatizadas para determinar quais hosts eram interessantes ou provavelmente vulneráveis.
Em poucos dias, tínhamos uma lista de sistemas expondo falhas críticas — do tipo que atacantes exploram rotineiramente em larga escala.
O vulnerability scanning é ineficaz se você nem sabe o que está exposto.
Soluções de attack surface management, como a Intruder, cobrem essas duas frentes, ajudando as equipes a descobrir automaticamente ativos ocultos e escaneá-los em busca de vulnerabilidades.
As vulnerabilidades a seguir são todas exposições reais em hosts acessíveis publicamente.
Backups foram umas das exposições mais fáceis de descobrir.
Muitos subdomínios relacionados a backup listavam abertamente o conteúdo de diretórios, frequentemente com arquivos de backup disponíveis para download por qualquer pessoa.
Em uma pequena amostra, encontramos credenciais ativas e código-fonte de sites, além de dumps completos de bancos de dados.
Em um caso, o arquivo até continha tokens hardcoded — incluindo credenciais FTP que ainda eram válidas no momento do teste.
Esse tipo de exposição é uma das mais simples para qualquer vulnerability scanner detectar, mas se o host pertence ao Shadow IT e nunca entra no seu programa de vulnerability management, ele permanece invisível — mesmo estando exposto à internet.
Repositórios Git desprotegidos são outra fonte comum de dados sensíveis.
Mesmo que credenciais ou arquivos secretos sejam removidos do código ativo, eles frequentemente permanecem no histórico do Git indefinidamente, a menos que sejam devidamente apagados.
Muitas organizações também hospedam seus próprios servidores Git para manter controle sobre código proprietário.
Em um caso, identificamos um servidor Git exposto que continha o código-fonte de um aplicativo de marketplace de LLM.
O repositório estava completamente aberto, e má higiene por parte do desenvolvedor fez com que ele continha segredos para serviços externos — incluindo Redis, MySQL, OpenAI e mais.
Esses tokens ainda estavam ativos no momento do teste.
Deixar um repositório de código exposto na internet é um erro simples, mas com consequências sérias.
A chave é detectar essas exposições você mesmo, antes que outra pessoa faça isso.
Painéis admin expostos são outro problema recorrente.
Mesmo quando protegidos por uma página de login, colocar uma interface administrativa diretamente na internet amplia a attack surface.
Em alguns casos, encontramos painéis que sequer exigiam autenticação.
Ao escanear por termos como “Elasticsearch” e “logging”, descobrimos um número significativo de sistemas de logging e monitoramento expostos online.
Apesar da maioria exigir credenciais, muitos não exigiam — e alguns estavam abertos há tanto tempo que já possuíam evidências de atividade maliciosa, incluindo ransom notes em instâncias de Elasticsearch.
Os dados acessíveis por esses sistemas eram altamente sensíveis: logs da infraestrutura, segredos, dados de aplicações (incluindo conteúdo gerado por usuários) e até mensagens de chatbot.
Sem autenticação, esses painéis entregavam exatamente o tipo de informação que atacantes procuram para avançar dentro de uma rede.
A enumeração de subdomínios também revelou um caso em larga escala de más configurações propagadas.
Ao investigar um provedor de hospedagem, identificamos cerca de 100 domínios de clientes todos expondo a mesma vulnerabilidade — arquivos de backup publicamente acessíveis contendo código-fonte de aplicações, arquivos de usuários e cópias de bancos de dados.
Individualmente, cada domínio parecia um erro isolado.
Mas a enumeração deixou claro o padrão: um problema sistêmico replicado por toda a base de clientes.
Ao dar um passo atrás e conectar os pontos, conseguimos visualizar o escopo completo da exposição e reportá-lo ao provedor.
Shadow IT cria pontos cegos, mas eles não precisam continuar ocultos.
Os defensors podem detectar fraquezas antes que sejam exploradas, por meio de:
- Enumeração contínua de subdomínios para capturar novos sistemas antes que os atacantes o façam
- Integrar ativos recém-descobertos no programa de vulnerability management para que nada escape
A Intruder faz isso automaticamente, descobrindo ativos desconhecidos e escaneando-os por exposições para que você possa agir rapidamente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...