Заброшенные хранилища AWS S3 создают риск атак на цепочки поставок

Заброшенные хранилища AWS S3 создают риск атак на цепочки поставок

Заброшенные хранилища AWS S3 создают риск атак на цепочки поставок

Выведенные из эксплуатации интернет-активы порой остаются востребованными и в итоге могут превратиться в угрозу глобального масштаба. Команда watchTowr убедилась в этом на примере Amazon S3.

В рамках исследования в Сети было найдено около 150 ликвидированных хранилищ AWS S3, продолжающих получать запросы на обновления для софта и другие коды. Если таким источником завладеет злоумышленник, он сможет раздавать вредоносов просителям.

Как оказалось, заброшенные активы ранее принадлежали правительственным учреждениям, участникам списка Fortune 500, ИТ- и ИБ-компаниям, а также opensource-проектам.

Экспериментаторы повторно зарегистрировали все находки под теми же именами и включили журналирование. За два месяца наблюдений сменившие владельца AWS S3 суммарно получили более 8 млн запросов на ресурсы.

Чаще всего запрашивали исполняемые файлы Windows/Linux/macOS, образы ВМ, файлы JavaScript, шаблоны из коллекции AWS CloudFormation, конфигурационные данные серверов SSL VPN.

Запросы поступали из сетей НАСА, военных ведомств, госучреждений США и других стран, компаний Fortune 500 и Fortune 100, банков, финсервисов, вузов, ИБ-компаний, мессенджеров, казино. По всей видимости, это был результат работы некогда актуальных привязок и ссылок, которые никто не удосужился вычистить.

Так, одна из заброшенных корзин S3 продолжала пользоваться популярностью из-за патча, на который ссылался алерт CISA (американского агентства кибербезопасности) от 2012 года. Когда автору бюллетеня поставили упущение на вид, URL из текста удалили.

 

Эксперты также помогли Amazon усилить защиту осиротевших хранилищ от злоупотреблений, в том числе от использования для атак supply-chain. Ранее watchTowr таким же образом выявила ИБ-риски, связанные с просроченными доменами.

Шесть дыр в AirDrop и Quick Share поставили под удар миллиарды устройств

Функции вроде AirDrop и Quick Share создавались для удобства: поднес устройство поближе и отправил файл без проводов, аккаунтов и долгой настройки. Но оказалось, что именно это удобство открывает дополнительную поверхность для атак.

Исследователи из CISPA Helmholtz Center for Information Security обнаружили сразу шесть уязвимостей, затрагивающих экосистемы Apple, Google и Samsung. Под удар попали macOS, iOS, Android и Windows.

По словам авторов исследования, злоумышленнику достаточно находиться в радиусе действия Wi-Fi (обычно от 10 до 30 метров). Предварительное сопряжение устройств, обмен контактами или подключение к одной сети не требуются.

В случае AirDrop специалисты нашли три проблемы, каждая из которых позволяет вывести из строя системный процесс sharingd. А вместе с ним перестают работать не только AirDrop, но и AirPlay, Handoff, Universal Clipboard и Continuity Camera. Один из сценариев позволяет удерживать сервис недоступным, периодически отправляя специально сформированные запросы.

 

Не лучше обстоят дела и с Quick Share. Специалисты обнаружили два логических обхода механизмов защиты, позволяющих обрабатывать часть сообщений еще до завершения проверки подлинности или вовсе без шифрования.

Кроме того, в Windows-клиенте Quick Share выявлена ошибка use-after-free, которая может привести к повреждению памяти. Google уже выплатила вознаграждение за находку и подготовила исправление.

Любопытно, что разработчики Apple и Google пришли к похожим проблемам совершенно разными путями. В AirDrop причиной стали ошибки обработки входящих данных и чрезмерно уязвимые проверки, а в Quick Share — распределение критически важных проверок по отдельным обработчикам и проблемы многопоточности.

Исследователи считают, что проблема носит архитектурный характер. Сервисы обмена файлами вынуждены принимать и разбирать данные от незнакомых устройств еще до завершения аутентификации пользователя. Именно этот этап становится привлекательной целью для атакующих.

Часть обнаруженных проблем уже устранена. Apple сообщила исследователям, что исправила одну из уязвимостей AirDrop и присвоила ей идентификатор CVE, хотя подробности пока не раскрываются. Google также выпустила патч для Windows-версии Quick Share, а остальные найденные проблемы еще находятся в процессе раскрытия.

RSS: Новости на портале Anti-Malware.ru