«Это просто для тестов, никто не найдет». Админы крупнейших IT-компаний подарили хакерам ключи от облаков
NewsMakerСпециалисты нашли тысячи открытых тестовых стендов в инфраструктуре Cloudflare и F5.
Иногда самый простой способ взломать компанию начинается не с хитрой уязвимости в рабочем сервисе, а с учебной песочницы, которую забыли закрыть от интернета. Специалисты Pentera выяснили , что злоумышленники активно используют преднамеренно уязвимые приложения для тренировки пентеста и обучения безопасной разработке, если такие стенды случайно оказываются доступны всем.
Речь о популярных инструментах вроде Damn Vulnerable Web Application (DVWA) , OWASP Juice Shop, Hackazon и bWAPP. Эти приложения специально сделаны «дырявыми», чтобы на них отрабатывать атаки, проводить внутренние проверки и показывать демо. Проблема начинается в тот момент, когда их разворачивают в реальной облачной инфраструктуре и при этом выдают широкие права, а тестовую среду не изолируют от продакшена.
Pentera предупреждает, что в таком сценарии учебный стенд превращается в удобную точку входа. По словам исследователей, ошибки конфигурации и нарушение принципа наименьших привилегий открывают атакующим путь к захваченным сетям и помогают «перемещаться» внутри инфраструктуры, добираясь до чувствительных внутренних систем.
В ходе работы Pentera обнаружила 1 926 публично доступных экземпляров подобных «уязвимых» приложений. Чаще всего они находились в AWS, Google Cloud Platform и Microsoft Azure , а у облачных учетных записей нередко были избыточные IAM-права. Из общего числа удалось подтвердить 1 626 уникальных серверов, и почти 60% из них работали на инфраструктуре, принадлежащей организациям, а не частным энтузиастам.
Иногда самый простой способ взломать компанию начинается не с хитрой уязвимости в рабочем сервисе, а с учебной песочницы, которую забыли закрыть от интернета. Специалисты Pentera выяснили , что злоумышленники активно используют преднамеренно уязвимые приложения для тренировки пентеста и обучения безопасной разработке, если такие стенды случайно оказываются доступны всем.
Речь о популярных инструментах вроде Damn Vulnerable Web Application (DVWA) , OWASP Juice Shop, Hackazon и bWAPP. Эти приложения специально сделаны «дырявыми», чтобы на них отрабатывать атаки, проводить внутренние проверки и показывать демо. Проблема начинается в тот момент, когда их разворачивают в реальной облачной инфраструктуре и при этом выдают широкие права, а тестовую среду не изолируют от продакшена.
Pentera предупреждает, что в таком сценарии учебный стенд превращается в удобную точку входа. По словам исследователей, ошибки конфигурации и нарушение принципа наименьших привилегий открывают атакующим путь к захваченным сетям и помогают «перемещаться» внутри инфраструктуры, добираясь до чувствительных внутренних систем.
В ходе работы Pentera обнаружила 1 926 публично доступных экземпляров подобных «уязвимых» приложений. Чаще всего они находились в AWS, Google Cloud Platform и Microsoft Azure , а у облачных учетных записей нередко были избыточные IAM-права. Из общего числа удалось подтвердить 1 626 уникальных серверов, и почти 60% из них работали на инфраструктуре, принадлежащей организациям, а не частным энтузиастам.