ENV failų pažeidžiamumas lėmė masinę išpirkos reikalaujančios programinės įrangos ataką.
Bendrovė „Palo Alto Networks“ aptiko masinę išpirkos reikalaujančios programinės įrangos kampaniją, kuri paveikė daugiau nei 100 000 domenų. Užpuolikai pasinaudojo netinkamai sukonfigūruotais ENV failais AWS sistemoje, kad gautų prieigą prie debesų saugykloje esančių duomenų ir pareikalautų už juos išpirkos.
Ataka pasižymėjo dideliu automatizavimo lygiu ir geru debesijos architektūros išmanymu. Pagrindinės debesijos naudotojų klaidos, leidusios pažeisti duomenis, buvo šios: aplinkos kintamųjų apsaugos nebuvimas, nuolatinių įgaliojimų naudojimas ir privilegijų ribojimo priemonių nebuvimas.
Pasinaudodami aptiktomis pažeidžiamomis vietomis, užpuolikai gavo prieigą prie aukų debesijos duomenų saugyklų ir išviliojo pinigus, įdėdami išpirkos raštelius į pažeistas saugyklas. Duomenys nebuvo užšifruoti, o tiesiog išgauti, todėl išviliotojai galėjo šantažuoti aukas, grasindami duomenų pažeidimu.
Ataka vyko „Amazon Web Services“ (AWS) debesijos platformose, kuriose užpuolikai sukūrė savo infrastruktūrą, nuskaitydami daugiau kaip 230 mln. unikalių taikinių ir ieškodami jautrios informacijos. Užpuolikai naudojosi „Tor“ tinklu, VPN ir VPS, kad apeitų saugumo sistemas.
Atakos metu buvo paveikta 110 000 domenų, o .env failuose rasta daugiau kaip 90 000 unikalių kintamųjų. Iš jų 7 000 buvo susiję su debesijos paslaugomis, o 1 500 – su socialinės žiniasklaidos paskyromis.
Svarbų vaidmenį atakos sėkmei atliko nukentėjusių organizacijų konfigūravimo klaidos, dėl kurių .env failai netyčia tapo viešai prieinami. ENV failuose dažnai būna prieigos raktai ir kiti neskelbtini duomenys, todėl užpuolikai galėjo gauti pradinę prieigą ir padidinti savo privilegijas aukų debesijos aplinkose.
Atakos analizė atskleidė, kad užpuolikai, naudodamiesi API užklausomis, rinko informaciją apie AWS aplinkas ir paslaugas, įskaitant IAM, S3 ir SES paslaugas, ir taip išplėtė savo įtaką aukų debesijos infrastruktūroms. Jie taip pat bandė padidinti savo privilegijas kurdami naujus IAM vaidmenis su neribota prieiga.
Organizacijoms, norinčioms apsaugoti savo debesijos aplinkas, patariama laikytis mažiausios privilegijos principų, naudoti laikinus įgaliojimus ir įtraukti visus įmanomus įvykių žurnalus, kad būtų užtikrinta stebėsena ir aptikta įtartina veikla. Įjungus pažangius „Amazon“ saugumo mechanizmus, tokius kaip „GuardDuty“ ir „CloudTrail“, taip pat galima gerokai padidinti debesijos išteklių apsaugos lygį.