Posté le mai 6, 2022 à 8:02
DES HACKERS ACCÈDENT À LA BASE DE DONNÉES D’AWS POUR VOLER DES MÉTADONNÉES VULNÉRABLES
Un rapport de recherche de Mandiant a révélé qu’un groupe de hackers exploite des applications web pour voler des métadonnées. Les acteurs de la menace ont réussi à voler ces données en utilisant la base de données d’AWS.
L’attaque exposée par les chercheurs de Mandiant s’est produite entre mai 2021 et juin 2021. Les hackers à l’origine de l’attaque ont réussi à voler des données d’entreprise sensibles dans les installations d’AWS. Les données ont été volées progressivement.
Des hackers exploitent la base de données d’AWS pour voler des données sensibles
Les chercheurs de Mandiant ont découvert cette attaque menée par un groupe de hackers connu sous le nom d’UNC2903. L’attaque s’est produite pendant une période de reconnaissance. Les attaques ont été menées en plusieurs phases, et elles pourraient être utilisées pour mener d’autres attaques contre la victime.
Dans un billet de blog publié mercredi, les chercheurs ont déclaré que « la menace identifiée dans les campagnes menées par UNC2903 était des attaques en plusieurs phases, qui impliquaient un balayage de l’infrastructure, une reconnaissance et un abus supplémentaire des couches d’abstraction sous-jacentes offertes par les plateformes hébergées dans le cloud.
Après que les acteurs de la menace ont lancé leur attaque sur le système cible, les chercheurs ont noté qu’ils ont utilisé les informations d’identification volées pour accéder à davantage de données contenues dans d’autres services AWS au sein du système cible. Cela indique que la première attaque a été menée pour ouvrir la voie à des attaques secondaires sur l’utilisateur compromis.
Les chercheurs de Mandiant ont ajouté que ces attaques étaient aléatoires. Elles ne visaient pas d’industries ou de secteurs spécifiques. Les acteurs de la menace n’ont pas réussi à coordonner ces attaques en les concentrant sur des individus ciblés, ce qui montre que les acteurs de la menace étaient opportunistes. La nature des attaques a également démontré que les hackers ciblaient des applications Web vulnérables à ce type d’attaques.
Au cours de cette attaque, les hackers ont ciblé des applications web vulnérables qui avaient intégré Adminer. Adminer est un outil de gestion de base de données populaire utilisé pour connecter des applications web à une base de données en nuage.
La vulnérabilité qui était visée par les attaquants, dans ce cas, a été baptisée CVE-2021-21311. Cette vulnérabilité n’offrait pas d’accès direct aux clés secrètes de la base de données AWS. Cependant, la faille a permis à l’attaquant d’accéder à certaines des métadonnées.
Les métadonnées jouent un rôle crucial dans l’attaque, selon les données fournies par Mandiant. Lorsque l’attaquant a interagi avec le service AWS baptisé IMDSv1, il a eu la possibilité de tromper le serveur en lui renvoyant un message d’erreur contenant les clés secrètes d’AWS. L’attaquant a ensuite établi un lien direct avec la base de données d’AWS et a volé les données qui y sont stockées.
Adminer et IMDSv1 ont été informés de cette vulnérabilité, et ils ont été priés de mettre à jour leurs systèmes et de s’assurer que la vulnérabilité est corrigée. Les hackers en question, nommés UNC2903, ont réussi à accéder au bon nombre d’applications reposant sur le Web et d’applications AWS, ce qui leur a permis d’accéder à de grandes quantités de données.
Cette attaque s’est principalement concentrée sur la base de données d’AWS. Toutefois, les chercheurs de Mandiant ont ajouté que les fournisseurs de cloud computing proposant des services de métadonnées similaires risquaient également d’être confrontés à des attaques similaires.
Adminer a été informé de l’attaque et a publié une mise à jour pour s’assurer que les utilisateurs ne sont plus ciblés par le risque de vol de leurs informations dans ce type d’attaques. Les administrateurs peuvent être assurés que leurs bases de données bénéficient du niveau de protection souhaité en mettant à jour leur Adminer en version 4.7.9 et IMDSv2.
Les services de cloud computing présentent un risque accru
Cependant, les chercheurs de Mandiant ont déclaré que les services de cloud computing posaient toujours problème. Les chercheurs ont déclaré que les entreprises continuent de courir des risques si elles utilisent des services de cloud computing. Étant donné que la plupart des entreprises se concentrent sur la numérisation, l’adoption et l’utilisation des services de cloud computing vont continuer à augmenter, ce qui représente un danger croissant pour les entreprises.
« À mesure que l’adoption de la technologie du cloud se développe, la surface de menace et le ciblage des infrastructures web vulnérables avec des dates sous-jacentes ou des services de métadonnées dépréciés aux capacités de sécurité limitées se développent », ont déclaré les chercheurs.
Ils ont également déclaré que le niveau de risque lié aux vulnérabilités des applications web devait être étroitement surveillé et évalué. Le risque identifié pourrait être associé à la compréhension par l’utilisateur des services de métadonnées dans les environnements en nuage et à la façon dont ils « augmentent la possibilité de menaces avancées ou continues. »
Depuis juillet de l’année dernière, les chercheurs de Mandiant surveillent le groupe de hackers à l’origine de cette attaque. Cependant, ils n’ont pas établi de lien entre ce groupe et un pays spécifique. Selon les recherches, UNC2903 est un groupe opportuniste. Cependant, le groupe ne semble pas vendre les données volées, comme c’est généralement le cas.
