Χιλιάδες διακομιστές etcd που ανήκουν σε ιδιωτικές επιχειρήσεις και οργανισμούς διαρρέουν διαπιστευτήρια και, δυνητικά, ευαίσθητα δεδομένα, σύμφωνα με στοιχεία που ήρθαν στο φως της δημοσιότητας.
Όπως προκύπτει από ανάλυση των στοιχείων αυτών, ορισμένοι από τους δυνητικά ευπαθείς servers που έχουν εντοπιστεί, βρίσκονται εντός της ελληνικής επικράτειας – με πανεπιστημιακούς servers να εντάσσονται μέσα σε αυτούς.
Μέχρι στιγμής έχουν εντοπιστεί 2,284 etcd servers που διαρρέουν διαπιστευτήρια πρόσβασης, συμπεριλαμβανομένων κωδικών και ιδιωτικών κλειδιών που απαιτούνται για την πρόσβαση σε cms_admin, mysql_root, και PostgreSQL υποδομές.
Τα στοιχεία αποκαλύφθηκαν από τον ερευνητή ασφάλειας, Giovanni Collazo, ο οποίος μέσω ενός απλού query στην μηχανή αναζήτησης Shodan, εντόπισε τους ευπαθείς διακομιστές. O ερευνητής αναφέρει ότι ο όγκος των δεδομένων που βρίσκονται εκτεθειμένα στο διαδίκτυο, ξεπερνά τα 750ΜΒ, και επισημαίνει ότι είναι αρκετά εύκολο για τους χάκερς να χρησιμοπoιήσουν τα εκτεθειμένα διαπιστευτήρια για να αποκτήσουν πρόσβαση στους διακομιστές, να κλέψουν ευαίσθητα δεδομένα ή να χρησιμοποιήσουν τα μηχανήματα για περαιτέρω κυβερνο-επιθέσεις.
Τι είναι όμως το etcd; Πρόκειται για έναν τύπο βάσης δεδομένων που χρησιμοποιείται συνηθέστερα για την αποθήκευση και τη διανομή κωδικών πρόσβασης και configuration settings μεταξύ διαφόρων διακομιστών και εφαρμογών. Μέσω του programming interface του etcd μπορούν να σταλούν κατάλληλα queries και από προεπιλογή να επιστραφούν τα στοιχεία πρόσβασης διαχειριστή, χωρίς περαιτέρω ταυτοποίηση.
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Ανακαλύψτε το Νέο Ανθρωποειδές Ρομπότ GR-2!
Με τη βοήθεια ενός απλού script, λοιπόν, ο ερευνητής κατάφερε να αποκτήσει όλα τα διαπιστευτήρια που ήταν αποθηκευμένα στους διακομιστές.
“Μέσω μιας απλής αναζήτησης στο Shodan, εντόπισα 2,284 etcd servers στο διαδίκτυο. Επέλεξα κάποιους και με την τρίτη προσπάθεια είδα αυτό που ήλπιζα να μην δω. Διαπιστευτήρια πρόσβασης, πολλά διαπιστευτήρια πρόσβασης. Στοιχεία πρόσβασης για cms_admin, mysql_root, postgres κ.λ.π.” αναφέρει ο Collazo.
Ο εμπειρογνώμονας σταμάτησε την εκτέλεση του script αφού συγκέντρωσε περίπου 750 megabytes δεδομένων από 1.485 IPs. Στον παρακάτω πίνακα παρουσιάζονται τα δεδομένα που ανακτήθηκαν:
- Password: 8781
- Αws_secret_access_key: 650
- Secret_key: 23
- Private_key: 8
Παρότι ο ερευνητής δεν προχώρησε σε περαιτέρω εξέταση των στοιχείων πρόσβασης προκειμένου να διαπιστώσει εάν είναι valid, αρκετά από αυτά ενδέχεται να μπορούν να χρησιμοποιηθούν για τη μη εξουσιοδοτημένη πρόσβαση στα ευπαθή συστήματα.
Υπάρχουν τρόποι προστασίας; Για να διατηρήσετε ασφαλείς τις etcd εγκαταστάσεις σας, είναι απαραίτητο να ενεργοποιήσετε την επαλήθευση ταυτότητας και να θέσετε το διακομιστή σας εκτός σύνδεσης, εάν αυτό είναι εφικτό. Επιπλέον συνίσταται να ρυθμίσετε κατάλληλα το τείχος προστασίας αποτρέποντας τη μη εξουσιοδοτημένη πρόσβαση σε άτομα που πραγματοποιούν queries στον etcd server σας.