Компания WatchTowr обнаружила множество заброшенных бакетов Amazon S3, которые могли использоваться злоумышленниками для доставки малвари и бэкдоров государственным учреждениям и крупным компаниям.
Исследователи нашли около 150 бакетов S3, которые ранее использовались для хранения данных различными коммерческими и опенсорными продуктами. Специалисты потратили 420 долларов США и зарегистрировали заброшенные бакеты с теми же именами, а затем включили журналирование и в течение двух месяцев наблюдали за тем, кто будет запрашивать файлы и какие именно.
В итоге за два месяца к заброшенным бакетам S3 было обращено более 8 млн HTTP-запросов. Среди них были: запросы на обновления ПО, получение образов ВМ, файлов JavaScript, конфигураций серверов SSLVPN, шаблонов CloudFormation, а также предварительно скомпилированных бинарников для Windows, Linux и macOS.
Исследователи объясняют, что если бы 150 бакетов были зарегистрированы не ИБ-компанией, а злоумышленником, они могли использоваться для доставки вредоносных обновлений, образов ВМ с бэкдорами, малвари и шаблонов CloudFormation, которые предоставляли бы хакерам доступ к средам AWS.
Анализ источников запросов показал, что они поступали даже из правительственных сетей в США, Великобритании, Австралии, Южной Корее и других странах. Хуже того, запросы исходили и из военных сетей, НАСА, а также сетей неназванных компаний из списков Fortune 100 и Fortune 500, крупной сети платежных карт, поставщика промышленных решений, банков, других финансовых организаций, университетов, компаний-разработчиков ПО для обмена сообщениями, казино и даже фирм, занимающихся кибербезопасностью.
«Мы полагаем, что если бы проведенные нами действия не были исследованием, а осуществлялись бы киберпреступниками, это могло привести к атакам на цепочки поставок, которые по своим масштабам и последствиям превосходили бы все, что индустрия видела до сих пор. Проще говоря, мы бы посрамили Cozy Bear, а их развлечения с SolarWinds показались бы мелочью и дилетантством», – говорится в отчете WatchTowr.
Для предотвращения дальнейших злоупотреблений исследователи уведомили о проблеме специалистов AWS, которые взяли заброшенные бакеты под свой контроль, а также связались с государственными органами США и Великобритании.
При этом представители Amazon не объясняют, почему компания до сих пор не запрещает повторное использование имен бакетов S3, хотя, по словам экспертов, это было бы самым простым способом решения проблемы.
«Мы уже много раз (как заезженная пластинка) объясняли командам AWS, которые взаимодействовали с нами, что наиболее логичным решением проблемы является предотвращение повторной регистрации бакетов S3 с именами, которые использовались ранее. Такой подход полностью устранит данный класс уязвимостей в контексте AWS S3», — резюмируют специалисты.
