Зловредният софтуер PCPJack експлоатира 5 CVE уязвимости за кражба на облачни идентификационни данни

Зловредният софтуер PCPJack експлоатира 5 CVE уязвимости за кражба на облачни идентификационни данни

Новооткрита рамка за кражба на идентификационни данни, наречена PCPJack, се разпространява из изложената на риск облачна инфраструктура, като верижно свързва пет непоправени уязвимости, събира данни за вход в масов мащаб и се придвижва латерално из мрежите по начин, наподобяващ класическо поведение на компютърен червей. Изследователите я определят като значителна ескалация в областта на зловредния софтуер за кражба на облачни идентификационни данни, а последиците надхвърлят отделните организации и засягат отдалечените работници, изпълнителите и всеки, който разчита на споделени облачни среди.

Как PCPJack събира и изнася облачни идентификационни данни

PCPJack функционира като модулна рамка, изградена около шест Python компонента, всеки от които обработва отделна фаза на атаката. След като получи опора в изложена на риск система, тя започва да събира идентификационни данни, съхранени в конфигурационни файлове, променливи на средата и кешове с токени за удостоверяване. Това са видовете идентификационни данни, които облачно-ориентираните услуги рутинно използват за удостоверяване между компоненти, и те често остават некриптирани или недостатъчно защитени в среди за разработка и тестване.

След събирането откраднатите идентификационни данни се изнасят към инфраструктура, контролирана от нападателя. Това, което прави PCPJack особено агресивна, е, че не спира дотук. Тя използва събраните идентификационни данни за опити за латерално движение, като проверява свързаните услуги и системи за допълнителен достъп. Това създава нарастващ риск: един компрометиран възел може да се превърне в плацдарм за значително по-широко проникване в облачната среда на дадена организация.

Зловредният софтуер също така активно премахва следите на конкурираща се заплаха, наречена TeamPCP, като ефективно изселва предишния нападател, за да получи изключителен контрол над заразената инфраструктура. Това конкурентно поведение сигнализира, че операторите зад PCPJack са достатъчно изтънчени, за да третират облачните системи като постоянни активи, заслужаващи защита.

Кои облачни услуги и CVE уязвимости се експлоатират

PCPJack е насочена широко към изложена на риск облачна инфраструктура, като се фокусира върху услуги, в които идентификационните данни са достъпни поради неправилна конфигурация или забавено прилагане на пачове. Рамката експлоатира пет документирани CVE уязвимости за установяване на първоначален достъп или ескалация на привилегии след проникване в мрежовия периметър. Въпреки че конкретните идентификатори на CVE все още се верифицират широко в публикациите по сигурността, изследователите отбелязват, че всичките пет уязвимости са били известни и са имали налични пачове преди разгръщането на PCPJack. Това е повтарящ се модел при атаки, насочени към облака: заплахите разчитат не на експлойти за нулев ден, а на разликата между наличността на пача и действителното му прилагане.

Тази динамика отразява начина, по който кражбата на идентификационни данни ескалира в други верижни атаки. Фишинг кампанията, разкрита от Microsoft, насочена към 35 000 потребители в 13 000 организации, по подобен начин е използвала компрометирани токени за удостоверяване, илюстрирайки, че откраднатите идентификационни данни служат като главен ключ в рамките на взаимосвързаните услуги.

Защо изложената облачна инфраструктура е основната уязвимост

Ефективността на PCPJack се дължи по-малко на техническа изтънченост и повече на благоприятна възможност. Облачните среди често се разгръщат бързо, като конфигурациите за сигурност изостават от оперативните нужди. Услуги, достъпни от интернет, неправилно ограничени разрешения на служебни акаунти и идентификационни данни, съхранявани в открит текст в конфигурационни файлове, създават условията, за чието използване са създадени инструменти като PCPJack.

Отдалечената работа е усилила тази уязвимост. Разработчици и инженери, достъпващи облачни конзоли от домашни мрежи, използващи лични устройства или сменящи проекти без формални процедури по напускане, всички допринасят за обширна, трудно одитируема повърхност на атака. Проблемът с хигиената на идентификационните данни не е нов, но PCPJack демонстрира колко ефективно може да бъде превърнат в оръжие в мащаб, когато е съчетан с автоматизирано разпространение по подобие на червей.

Струва си да се отбележи, че атаките, фокусирани върху идентификационните данни, не изискват най-напредналите техники за проникване, за да причинят сериозни щети. Както се вижда от инциденти като пробивът в италианското подразделение на IBM, свързан с операции, спонсорирани от държава, след като нападателят разполага с валидни идентификационни данни, той може да се придвижва из системите, като се слива с легитимния трафик.

Многопластова защита: VPN мрежи, Zero Trust и управление на идентификационни данни

Защитата срещу заплаха като PCPJack изисква едновременно адресиране на вектора на експлоатация на уязвимости и проблема с излагането на идентификационни данни.

Първо, управлението на пачове за облачно ориентирани услуги не може да се третира като незадължително или отложимо. Всичките пет CVE уязвимости, използвани от PCPJack, са имали налична корекция преди разгръщането на зловредния софтуер в реална среда. Поддържането на навременен ритъм на прилагане на пачове, особено за услуги, изложени на интернет, директно намалява повърхността на атака.

Второ, организациите трябва да одитират начина, по който идентификационните данни се съхраняват и ограничават в техните облачни среди. Служебните акаунти трябва да следват принципа на минималните привилегии, а тайните трябва да се съхраняват в специализирани хранилища, а не в конфигурационни файлове или хранилища за код. Редовното завъртане на идентификационни данни и анулирането на неизползвани токени ограничава стойността на всичко, което PCPJack успее да открадне.

Трето, приемането на модел за сигурност Zero Trust променя основното предположение, че вътрешният мрежов трафик е надежден. При Zero Trust всяка заявка за достъп, независимо дали е от потребител човек или от служебен акаунт, трябва да бъде удостоверена и оторизирана спрямо дефинирани политики. Тази архитектура значително ограничава латералното движение, на което PCPJack разчита, за да разшири своя обхват след първоначален достъп.

Накрая, VPN мрежите могат да намалят прякото излагане на интерфейси за управление на облака, като гарантират, че административният достъп се маршрутизира през контролирани, удостоверени тунели, а не през открити интернет връзки. Това не елиминира целия риск, но значително повишава прага за първоначален достъп.

Какво означава това за вас

Ако вашата организация изпълнява натоварвания в облака, PCPJack е пряко напомняне, че изложените на риск услуги и непоправените уязвимости не са абстрактни рискове. Те са активни цели. Дори по-малки фирми, използващи облачни платформи за съхранение, разработка или SaaS интеграции, могат да имат откраднати идентификационни данни, ако конфигурациите не се преглеждат редовно.

За лица, работещи дистанционно и достъпващи корпоративни облачни ресурси, рискът е споделен. Слабите практики за удостоверяване или идентификационните данни, кеширани на лични устройства, могат да се превърнат в входни точки към по-широки организационни мрежи.

Приложими изводи:

• Одитирайте всички облачни услуги, достъпни от интернет, и приложете изчакващи пачове, особено за петте категории CVE уязвимости, към които е насочен PCPJack.
• Преместете идентификационните данни и API ключовете от конфигурационните файлове в специализирани инструменти за управление на тайни.
• Внедрете многофакторно удостоверяване за целия достъп до облачни конзоли и служебни акаунти.
• Прегледайте готовността на вашата организация за Zero Trust, особено по отношение на контролите за латерално движение и удостоверяването между услуги.
• Използвайте VPN тунели, за да ограничите административния достъп до облака до удостоверени, контролирани мрежови пътища.

Зловредният софтуер за кражба на облачни идентификационни данни става все по-автоматизиран и все по-вреден. Оценяването на вашата собствена уязвимост сега е много по-малко разходно от реагирането на пробив след като е станал факт.