Do niewłaściwie zabezpieczonych i źle skonfigurowanych usług w chmurze cyberprzestępcy ciągną jak pszczoły do miodu – wynika z eksperymentu przeprowadzonego przez Palo Alto Networks.

Badacze uruchomili szereg honeypotów (pułapek) zaprojektowanych tak, aby wyglądały jak niewłaściwie zabezpieczona infrastruktura. Byli w szoku, że wystarczyło zaledwie kilka minut, by ruszyli na nie hakerzy.

Honeypot stworzony przez Palo Alto składał z 320 węzłów i wielu niewłaściwie skonfigurowanych instancji usług w chmurze. Równomiernie w infrastrukturze rozmieszczono takie typy aplikacji jak SSH (Security Shell), RDP (protokół zdalnego pulpitu), Postgres (bazy danych) i Samba.

Wystarczyły minuty na włamanie

Pułapki stały się celem ataków niemal natychmiast, gdy tylko stały się widoczne w sieci. Pierwsze zostały naruszone w ciągu kilku minut, w 24 godz. włamano się do 80 proc. z nich, a wszystkie 320 padło łupem hakerów w ciągu tygodnia.

Najczęściej atakowano SSH – protokół komunikacji sieciowej. Każdy honeypot SSH był zagrożony średnio 26 razy dziennie, a rekordzista nawet 169 razy w ciągu dnia.

Łakomym kąskiem dla napastników okazał się również Postgres – system zarządzania relacyjnymi bazami danych. Jednemu z nich wystarczyło zaledwie 90 sek., by zhakować niemal wszystkie z 80 pułapek Postgres.

Ponieważ różne usługi są połączone z innymi obciążeniami w chmurze, naruszenie jednej może skutkować tym, że cyberprzestępcy dostaną się do całego środowiska chmurowego – zauważono we wnioskach.

W instalowaniu łatek nie ma marginesu błędu

Szybkość, z jaką działają cyberprzestępcy, okazała się zaskakująca. Wykrycie i załatanie luki zajmuje czasem miesiące. Eksperyment wskazuje, że po takim czasie atakujący już od dawna hulają w dziurawych systemach.

Jay Chen, główny specjalista ds. bezpieczeństwa chmury w Palo Alto, radzi organizacjom, by stosować uwierzytelnianie wieloskładnikowe i nie zapominać o aktualizacji oprogramowania, zwłaszcza o instalowaniu łatek gdy tylko są dostępne. „Jeśli chodzi czas na instalowanie poprawek, nie ma marginesu na błąd” – podkreśla Chen.

Nieskuteczne zapory sieciowe warstwy 3

Z badania wynika, że 85 proc. adresów IP atakujących zaobserwowano tylko jednego dnia. Liczba ta wskazuje, że zapory sieciowe oparte na protokole IP warstwy 3 są nieskuteczne, ponieważ napastnicy rzadko ponownie wykorzystują te same adresy IP do przeprowadzania ataków – stwierdza Palo Alto Networks.

W atakach najczęściej wykorzystywano adresy IP z USA (29 proc.) i… Wietnamu (17,4 proc.).

—–

Eksperyment przeprowadzono w lipcu i sierpniu 2021 r. 320 honeypotów wdrożono w Ameryce Północnej, regionie Azji i Pacyfiku oraz w Europie.