Invasores capturam tokens em aplicações e os multiplicam para dominar servidores e permanecer quase invisíveis. CyberArk e NetSPI já oferecem solução open source no GitHub
As equipes das empresas de segurança CiberArk e NetSPI acabam de publicar no GitHub ferramentas para detectar e bloquear intrusões em instâncias de AWS, obtidas por meio do uso de tokens falsificados. O que acontece é que cibercriminosos têm localizado tokens temporários de aplicações na nuvem e conseguem transformá-los em permanentes, obtendo assim acesso e pouquíssima visibilidade. Esse acesso não pode ser considerado uma vulnerabilidade na infraestrutura da AWS – eles ocorre após os desenvolvedores publicarem na web os tokens e credenciais de acesso, geralmente embutidos no código-fonte do aplicativo.
Os hackers têm buscado esse tipo de credencial, obtendo assim o acesso a uma conta da AWS e, em seguida, roubam dados ou instalam malware na infraestrutura de um cliente. Um agravante desse tipos de ataque é que os invasores podem manter o acesso durante bastante tempo, informa a CiberArk.
Veja isso
Senadores americanos questionam papel da AWS em incidente
AWS: mau gerenciamento faz 71% das violações
A técnica descrita pelas duas empresas é baseada numa corrupção do AWS Security Token Service (STS), para que ele emita tokens temporários. Esses tokens do STS usualmente devem durar de alguns minutos a poucas horas, e geralmente são necessários para criar uma infraestrutura também temporária da AWS, em caso de sobrecarga. No entanto, CyberArk e NetSPI afirmam que os hackers desenvolveram scripts destinados a criar tokens temporários sequencialmente e indefinidamente – usando como ponto de partida um token temporário existente (e prestes a expirar). Esse artifício técnica permite que os hackers mantenham suas intrusões em segredo, amparados pela atividade regular do STS. Infelizmente, a maioria dos proprietários de contas AWS não têm o hábito de investigar esse serviço em busca de atividades suspeitas.
A ferramenta da CyberArk se chama SkyWrapper e já está disponível no GitHub. Ela permite que os administradores descubram picos na geração de tokens temporários e começa criando uma planilha que lista todos os tokens temporários ativos, como também as chaves de acesso usadas para gerá-los. A CiberArk explica que se uma determinada chave de acesso (AKIA) houver gerado um grande número de chaves temporárias (ASIA), é muito provável que aquela chave tenha vazado ou esteja comprometida. O blog da NetSPI mostra os cuidados necessários para resolver o problema.
Com agências internacionais
