- Peretas menargetkan file lingkungan cloud untuk mendapatkan akses.
- Mereka mengeksploitasi file .env untuk mendapatkan kredensial akses cloud.
- Perusahaan harus melindungi file .env dan tidak memublikasikannya secara publik untuk mencegah akses kredensial cloud yang tidak sah.
pibitek.biz -Sepertinya ini kabar baik buat perusahaan yang tidak membiarkan file lingkungan AWS mereka terpapar ke publik. Karena para ahli keamanan siber memperingatkan bahwa perusahaan yang melakukannya mungkin menjadi korban dari serangan ekstensi dan canggih. Cyble, perusahaan keamanan siber, merilis sebuah penelitian minggu ini setelah menemukan 110.000 domain yang menjadi sasaran serangan. Serangan ini dilakukan dengan mengeksploitasi file. env yang salah konfigurasi. File. env biasanya berisi informasi rahasia, seperti kunci akses cloud yang tertanam, kunci API SaaS, dan informasi login database.
2 – SimpliSafe Rilis Layanan Pemantauan Aktif Waktu Nyata 2 – SimpliSafe Rilis Layanan Pemantauan Aktif Waktu Nyata
3 – Google Kerjasama dengan Reaktor Nuklir untuk AI 3 – Google Kerjasama dengan Reaktor Nuklir untuk AI
Para peneliti mengatakan bahwa pelaku serangan ini memiliki pemahaman yang mendalam tentang arsitektur cloud. Hal ini menjadi bahaya besar bagi perusahaan yang gagal menerapkan keamanan cloud di berbagai area. Mereka yang terkena dampak serangan ini dan menemukan data mereka yang disimpan di S3 diganti dengan pesan tebusan, ternyata sebelumnya telah mengekspos variabel lingkungan mereka, gagal memperbarui kredensial secara teratur, dan tidak menerapkan arsitektur dengan hak akses minimum. Para penyerang mengarahkan serangannya pada aplikasi web yang tidak aman, memindai file lingkungan yang mengekspos kunci manajemen identitas dan akses (IAM).
Setelah berhasil mendapatkan akses, para penyerang menjalankan panggilan API GetCallerIdentity untuk memverifikasi data di dalamnya, permintaan API ListUsers untuk menghitung pengguna IAM di akun AWS, dan permintaan API ListBuckets untuk menemukan semua bucket S3. Kunci akses ini tidak memiliki hak administrator yang dicari oleh para penyerang, tetapi memungkinkan mereka untuk membuat peran IAM baru yang dapat diterapkan dengan kebijakan. Dengan demikian, mereka dapat meningkatkan hak akses mereka hingga mencapai level akses tanpa batasan.
Cyble menulis, "Untuk meningkatkan hak akses, para penyerang membuat peran IAM bernama lambda-ex dengan permintaan API CreateRole, lalu menggunakan panggilan API AttachRolePolicy untuk melampirkan kebijakan AWS-managed AdministratorAccess ke peran lambda-ex yang baru dibuat". "Dalam fase eksekusi, para penyerang awalnya gagal membuat tumpukan infrastruktur EC2, tetapi menggunakan panggilan API CreateFunction20150331, mereka mampu membuat fungsi AWS Lambda baru untuk operasi pemindaian otomatis mereka. Dari sana, mereka dapat merilis skrip bash untuk memindai target".
Para peneliti menyarankan pengguna cloud untuk tidak memasukkan file. env ke dalam kontrol versi, langkah ini untuk mencegah paparan yang tidak disengaja. Menggunakan variabel lingkungan di lingkungan penyebaran mengurangi ketergantungan pada file. env, dan alat manajemen rahasia juga harus dipertimbangkan. Baik bucket Amazon S3 dan kredensial cloud yang sering kali terkandung di dalamnya adalah target utama bagi penjahat dunia maya, sehingga tidak heran jika upaya canggih dilakukan untuk menargetkan keduanya.
Kredensial cloud biasanya mudah didapatkan, karena sering kali terpapar, dan tersedia dalam jumlah banyak di forum dark web. Tahun lalu, para ahli mengatakan kepada The Reg bahwa membeli kredensial cloud bisa semurah sekotak donat. Namun, bahkan pengeluaran kecil itu pun tidak selalu diperlukan mengingat betapa buruknya proteksi yang diterapkan. Tim X-Force milik IBM menemukan kredensial plain-text pada titik akhir pengguna dalam 33 persen dari semua kasus yang mereka tangani. Bucket S3 sendiri tidaklah selalu sempurna.
Entah itu karena kerentanan yang memungkinkan pengambilalihan akun AWS sepenuhnya, atau karena pengguna gagal mengkonfigurasinya dengan benar, miskonfigurasi penyimpanan cloud sangat umum sehingga menjadi berita yang membosankan. Juru bicara AWS menghubungi The Reg untuk menjelaskan bahwa "layanan dan infrastruktur AWS tidak terpengaruh oleh temuan para peneliti ini" dan bahwa "masalah yang dijelaskan dalam blog ini merupakan hasil dari pelaku jahat yang menyalahgunakan aplikasi web yang salah konfigurasi – yang dihosting di cloud dan di tempat lain – yang memungkinkan akses publik ke file variabel lingkungan (. env)". "Beberapa file ini berisi berbagai jenis kredensial, termasuk kredensial AWS yang kemudian digunakan oleh pelaku jahat untuk memanggil API AWS. File variabel lingkungan tidak boleh dipublikasikan, dan meskipun disimpan secara pribadi, tidak boleh berisi kredensial AWS". Juru bicara tersebut juga mencatat bahwa AWS menawarkan sumber daya untuk memperkuat aplikasi web sehingga mereka dapat "mengakses kredensial AWS sementara dengan aman", selain panduan praktik terbaik. Serangan ini menunjukkan betapa pentingnya keamanan cloud dan bahwa perusahaan harus mengambil langkah-langkah yang tepat untuk melindungi data mereka.
