Les services informatiques de clou computing non sécurisés peuvent représenter un risque énorme pour les organisations, car ils sont régulièrement la cible des cybercriminels. Des chercheurs ont démontré à quel point les services de cloud peuvent être vulnérables ou mal configurés, après avoir déployé des centaines de pots de miel (honeypot) conçus pour ressembler à une infrastructure non sécurisée. Certaines n’ont résisté que quelques minutes avant d’être compromises par des pirates.
Les chercheurs en cybersécurité de Palo Alto Networks ont mis en place un honeypot composé de 320 nœuds répartis dans le monde entier et constitué de plusieurs instances mal configurées de services de cloud courants, notamment un protocole de bureau à distance (RDP), un protocole de shell sécurisé (SSH), un serveur de messages (SMB) et des bases de données Postgres.
Le pot de miel comprenait également des comptes configurés avec des mots de passe par défaut ou faibles – exactement le genre de choses que les cybercriminels recherchent lorsqu’ils tentent de pénétrer dans des réseaux.
L’application la plus attaquée est SSH
Les cybercriminels n’ont pas tardé à découvrir le honeypot et à chercher à l’exploiter : certains sites ont été compromis en quelques minutes, tandis que 80 % des 320 honeypot l’ont été dans les 24 heures. Tous ont été compromis en moins d’une semaine.
L’application la plus attaquée était le shell sécurisé SSH, qui est un protocole de communication réseau permettant à deux machines de communiquer. Chaque honeypot SSH a été compromis 26 fois par jour en moyenne. Le honeypot le plus attaqué a été compromis au total 169 fois en une seule journée.
Parallèlement, un attaquant a compromis 96 % des 80 honeypot Postgres en l’espace de 90 secondes.
La porte ouverte aux ransomware…
« La rapidité de la gestion des vulnérabilités se mesure généralement en jours ou en mois. Le fait que les attaquants puissent trouver et compromettre nos pots de miel en quelques minutes est choquant. Cette recherche démontre le risque que représentent les services exposés de manière non sécurisée », a déclaré Jay Chen, chercheur principal en sécurité du cloud chez Palo Alto Networks.
Les services de cloud exposés ou mal configurés comme ceux déployés dans le honeypot constituent des cibles tentantes pour les cybercriminels de toutes sortes.
Plusieurs ransomwares notoires sont connus pour exploiter des services de cloud exposés afin d’obtenir un accès initial au réseau de la victime pour finalement chiffrer autant que possible et demander une rançon de plusieurs millions d’euros en échange de la clé de déchiffrement.
… mais aussi aux activités d’espionnage
Parallèlement, des groupes de pirates aux pratiques très sophistiquées sont également connus pour cibler les vulnérabilités des services de cloud comme moyen furtif d’entrer dans les réseaux afin de mener des activités d’espionnage, de voler des données ou de déployer des logiciels malveillants sans être détectés.
Et comme le démontre la recherche, il ne faut pas longtemps aux cybercriminels pour trouver des systèmes exposés à l’Internet.
« Lorsqu’un service vulnérable est exposé à l’internet, des attaquants opportunistes peuvent le trouver et l’attaquer en quelques minutes seulement. Comme la plupart de ces services orientés vers l’internet sont connectés à d’autres charges de travail de cloud, tout service violé peut potentiellement conduire à la compromission de l’ensemble de l’environnement de cloud », a déclaré Chen.
Mots de passe par défaut et authentification multifactorielle
Lorsqu’il s’agit de sécuriser les comptes utilisés pour accéder aux services de cloud, les organisations devraient éviter d’utiliser des mots de passe par défaut et les utilisateurs devraient bénéficier d’une authentification multifactorielle afin de créer une barrière supplémentaire pour empêcher l’exploitation des informations d’identification divulguées.
Il est également essentiel que les organisations appliquent les correctifs de sécurité dès qu’ils sont disponibles afin d’empêcher les cybercriminels de tirer parti des exploits connus – une stratégie qui s’applique également aux applications cloud-native.
« Le résultat [de la recherche] réaffirme l’importance d’atténuer et de corriger rapidement les problèmes de sécurité. Lorsqu’un service mal configuré ou vulnérable est exposé à l’internet, il ne faut que quelques minutes aux attaquants pour le découvrir et le compromettre. Il n’y a pas de marge d’erreur lorsqu’il s’agit du calendrier des correctifs de sécurité », a déclaré M. Chen.
Source : « ZDNet.com »
