Ο νέος scanner ανοικτού κώδικα ‘S3crets Scanner’ επιτρέπει στους ερευνητές και τους red-teamers να αναζητούν ευαίσθητες πληροφορίες που έχουν αποθηκευτεί κατά λάθος σε δημόσια εκτεθειμένους κάδους αποθήκευσης Amazon AWS S3.
Δείτε επίσης: Ο Daniel Kaye κατηγορείται για τη λειτουργία της αγοράς dark web The Real Deal
Το Amazon S3 (Simple Storage Service) είναι μια υπηρεσία αποθήκευσης στο cloud που χρησιμοποιείται από επιχειρήσεις για την αποθήκευση λογισμικού, αρχείων δεδομένων και δεδομένα σε containers γνωστά ως buckets.
Δυστυχώς, οι εταιρείες μερικές φορές αποτυγχάνουν να ασφαλίσουν σωστά τα S3 buckets και έτσι εκθέτουν δημοσίως τα αποθηκευμένα δεδομένα στο Διαδίκτυο.
Δείτε επίσης: LinkedIn: Νέα χαρακτηριστικά ασφαλείας για την καταπολέμηση fake accounts
Δυστυχώς, αυτού του είδους τα misconfiguration ήταν η αιτία παραβίασης δεδομένων στο παρελθόν, αφήνοντας τις πληροφορίες των εργαζομένων και των πελατών ευάλωτες σε επιθέσεις.
Τα μυστικά, όπως τα κλειδιά ελέγχου ταυτότητας, τα access tokens και τα API keys, μπορούν να βρεθούν στον πηγαίο κώδικα ή στα αρχεία ρυθμίσεων που είναι αποθηκευμένα σε S3 buckets.
Εάν ιοι απειλητικοί φορείς αποτκήσουν πρόσβαση σε αυτά τα μυστικά, θα μπορούσαν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε άλλες υπηρεσίες ή στο εταιρικό δίκτυο της εταιρείας.
Σκανάροντας το S3 για μυστικά
Όταν ο ερευνητής ασφαλείας Eilon Harel ερευνούσε την πρόσφατη διαρροή δεδομένων της SEGA, συνειδητοποίησε ότι δεν υπήρχαν διαθέσιμα εργαλεία για τη σάρωση τέτοιων διαρροών. Έτσι, αποφάσισε να δημιουργήσει τον δικό του αυτοματοποιημένο σαρωτή και να τον κυκλοφορήσει ως εργαλείο ανοιχτού κώδικα στο GitHub.
Το εργαλείο Python του Harel, “S3crets Scanner”, κάνει αυτόματα τα εξής για να βοηθήσει στην γρήγορη ανακάλυψη μυστικών που εκτίθενται σε δημόσια S3 buckets:
- Το CSPM μπορεί να δημιουργήσει έναν κατάλογο με τα δημόσια buckets
- Δημιουργεί μια λίστα με το περιεχόμενο των bucket μέσω κλήσεων API.
- Έλεγχος για εκτεθειμένα αρχεία κειμένου πριν ανοιχτούν.
- Download των απαραίτητων αρχείων κειμένου.
- Scan στο περιεχόμενο για μυστικά
- Αποστολή αποτελεσμάτων στο SIEM
Οι παρακάτω αλλαγές στις ρυθμίσεις θα διασφαλίσουν ότι τα S3 buckets δεν θα μείνουν κατά λάθος ανοιχτά στο κοινό:
- “BlockPublicAcls”
- “BlockPublicPolicy”
- “IgnorePublicAcls”
- “RestrictPublicBuckets”
Τυχόν buckets που προοριζόταν να είναι δημόσιοι φιλτράρονται από τη λίστα πριν από τη λήψη των αρχείων κειμένου για το βήμα “secrets scanning”.
Δείτε επίσης: Microsoft: Επιδιορθώνει τις αποτυχίες TLS handshake στην τελευταία ενημέρωση των Windows
Το script χρησιμοποιώντας το Trufflehog3 – έναν βελτιωμένο σαρωτή μυστικών βασισμένο στο Go – θα σαρώσει τα αρχεία κειμένου του κάδου για credentials και ιδιωτικά κλειδιά σε GitHub, GitLab, συστήματα αρχείων και S3 buckets.
Το Trufflehog3 σαρώνει τα αρχεία που κατεβάζει το S3crets για έκθεση σε προσωπικά αναγνωρίσιμες πληροφορίες (PII) και εσωτερικά access tokens χρησιμοποιώντας ένα σύνολο προσαρμοσμένων κανόνων που σχεδιάστηκαν από τον Harel.
Ο ερευνητής πιστεύει ότι αν το “S3crets Scanner” χρησιμοποιείται για να σαρώνει τα assets ενός οργανισμού συχνά, θα μπορούσε να βοηθήσει τις επιχειρήσεις να μειώσουν τον κίνδυνο διαρροής δεδομένων ή παραβίασης δικτύου που προκαλείται από την αποκάλυψη μυστικών.
Εκτός από τις κακόβουλες χρήσεις, το εργαλείο μπορεί επίσης να χρησιμοποιηθεί για να προειδοποιεί τους ιδιοκτήτες των εκτεθειμένων μυστικών πριν βρεθούν από κακόβουλους φορείς.
Πηγή πληροφοριών: bleepingcomputer.com
