Xakep #305. Многошаговые SQL-инъекции
Как стало известно, еще в июне 2018 года аналитики компании UpGuard обнаружили в свободном доступе неправильно настроенный бакет Amazon S3 (abbottgodaddy). Он содержал закрытую информацию об облачной инфраструктуре GoDaddy, одного из крупнейших в мире хостеров и регистраторов, насчитывающего более 17 000 000 клиентов.
Так как доступ к содержимому бакета мог получить любой желающий, исследователи нашли там документ GDDY_cloud_master_data_1205 (AWS r10).xlsx, размером 17 Мб. В этом файле Excel содержались данные о «десятках тысяч систем», их конфигурации, а также стоимости их работы в Amazon AWS, включая скидки, актуальные для различных сценариев использования.
К примеру, лист GDDY Machine Raw Data содержал более 24 000 уникальных имен хостов и подробное описание связанных с ними машин (ОС, регион AWS, память, CPU и так далее).
Исследователи подчеркивают, что хотя бакет не содержал учетных данных и приватной информации, столь подробная информация об инфраструктуре компании тоже может быть полезна злоумышленникам, как минимум в качестве фундамента для планируемой атаки.
Разобравшись, с чем имеют дело, специалисты немедленно уведомили о своей находке представителей GoDaddy. В итоге утечка была ликвидирована 26 июля 2018 года.
Как выяснилось, ответственность за неправильную настройку бакета лежит на неизвестном менеджере AWS, который забыл защитить рабочую информацию должным образом. При этом представители GoDaddy заявили, что в документе не отражено реальное состояние инфраструктуры компании, якобы тот был лишь моделью, составленной сотрудником AWS.