19,6 miljardia tiedostoa alttiina 535 000 avoimessa pilvibucketissa
Mysterium VPN:n uusi raportti on antanut hätkähdyttävän luvun ongelmalle, josta tietoturvatutkijat ovat varoittaneet vuosia: 19,6 miljardia tiedostoa on juuri nyt avoimesti saatavilla internetissä yli 535 000 väärin määritellyssä pilvitallennusbucketissa, jotka eivät vaadi salasanaa, tunnistautumista tai hakkerointitaitoja päästäkseen käsiksi. Näiden tiedostojen joukossa on lähes 700 000 tunniste- ja avaintiedostoa, jotka voisivat antaa hyökkääjälle suoran pääsyn eläviin järjestelmiin, tietokantoihin ja sisäiseen infrastruktuuriin.
Tämä ei ole tietomurto perinteisessä mielessä. Kukaan ei joutunut hyödyntämään haavoittuvuutta tai sieppaamaan verkkoliikennettä. Tiedot ovat yksinkertaisesti avoimia pilvitallennuksen asetusten virheellisen määrittämisen seurauksena, ja ne on jätetty sellaiseksi.
Altistumisen laajuus: 19,6 miljardia tiedostoa, nolla salasanaa
Paljastuneen datan silkkaa määrää on vaikea hahmottaa. 19,6 miljardia tiedostoa yli puolessa miljoonassa tallennusbucketissa edustaa yhtä suurimmista koskaan dokumentoiduista väärin määriteltyjen pilvitallennusbucketien altistumistapauksista. Nämä bucketit kattavat pilvialustoja, joilla kaikenkokoiset organisaatiot yksittäisistä kehittäjistä suuriin yrityksiin tallentavat sovellusdataa, varmuuskopioita, lokeja ja arkaluonteisia tietueita.
Väärin määritelty pilvitallennus ei ole uusi ongelma, mutta tässä raportoitu laajuus viittaa siihen, ettei se ole läheskään ratkaistu. Oletusasetukset, hätäisesti tehdyt käyttöönotot ja aukot pilviturvallisuusosaamisessa vaikuttavat kaikki siihen, että bucketit jäävät julkisesti luettaviksi. Monissa tapauksissa vastuulliset organisaatiot eivät ehkä edes tiedä, että niiden data on paljastuneena.
Tämä heijastaa kuvioita, joita on nähty muissa korkean profiilin tapauksissa. Väärin määritetty analytiikan hallintapaneeli FTF Livessä jätti hiljattain yli 22 miljoonaa videochatin istuntotallennetta avoimesti saataville, mikä havainnollistaa, kuinka yksittäinen infrastruktuurin laiminlyönti voi paljastaa arkaluontoista dataa valtavassa mittakaavassa ilman aktiivista hyökkäystä.
Miksi tunnistetiedosto- ja avaintiedostot ovat vaarallisin vuoto
19,6 miljardista paljastuneesta tiedostosta lähes 700 000 tunniste- ja avaintiedostoa edustavat selvästi suurimman riskin kategoriaa. Nämä tiedostot sisältävät usein API-avaimia, tietokantasalasanoja, yksityisiä salausavaimia, SSH-tunnistetietoja ja pilvipalveluntarjoajan pääsytunnuksia.
Kun hyökkääjä löytää tunnistetiedoston avoimesta bucketista, hänen ei tarvitse tehdä mitään teknisesti taidokasta seuraavaksi. Hän voi ottaa nuo tunnistetiedot ja todennettuna suoraan niiden suojaamiin järjestelmiin. Se voi tarkoittaa luku- ja kirjoitusoikeutta tuotantotietokantaan, kykyä käynnistää pilvi-infrastruktuuria jonkun toisen tilillä tai pääsyä sisäisiin järjestelmiin, jotka muuten olisivat täysin kiellettyjä.
Tietokantavedokset muodostavat erillisen mutta yhtä vakavan riskin. Nämä tiedostot sisältävät usein käyttäjätietueita, tiiviste- tai selkokielisiä salasanoja, henkilötietoja ja tapahtumatietoja. Terveydenhuollon tarjoajan, rahoitusalustan tai verkkokauppasivuston tietokantavedos voi sisältää kaiken, mitä hyökkääjä tarvitsee identiteettivarkauden, tilin valtauksen tai kiristyksen toteuttamiseen.
Kuinka pilven virheelliset määritykset ohittavat jopa VPN-suojatut verkot
Yksi tämän altistumistyypin vastenmielisemmistä puolista on, että se sivuuttaa monet turvallisuuskontrollit, joihin organisaatiot luottavat. VPN:t, palomuurit ja verkon pääsynhallinta on suunniteltu suojaamaan järjestelmien välillä liikkuvaa liikennettä. Mutta kun data tallennetaan julkiseen pilvibuckettiin, se ei kulje noiden suojattujen verkkojen kautta lainkaan. Se sijaitsee paikassa, johon kuka tahansa internet-yhteyden omaava voi päästä.
Tämä tarkoittaa, että hyökkääjä toisessa maassa, ilman pääsyä yritysverkkoon ja ilman kykyä ohittaa palomuuria, voi silti noutaa avoimen bucketin sisällön siirtymällä suoraan sen julkiseen URL-osoitteeseen. Tiedot ovat käytännössä olemassa sen suoja-alueen ulkopuolella, jonka puolustamiseen useimmat organisaation tietoturvatyökalut on suunniteltu.
Tästä syystä väärin määriteltyjen pilvitallennusbucketien altistumisesta on tullut yksi tehokkaimmista tiedonkeruureiteistä uhkatoimijoille. Ei ole hyökkäystä havaittavaksi, ei epätavallista liikennettä liputettavaksi eikä tunkeutumista tutkittavaksi. Infrastruktuurin näkökulmasta jonkun lukiessa avointa bucketia se näyttää samanlaiselta kuin tavanomainen liikenne.
Mitä organisaatiot ja yksityishenkilöt voivat tehdä juuri nyt
Pilvitallennusta hallinnoiville organisaatioille kiireellisin toimenpide on käyttöoikeuksien tarkastus. Jokainen tallennusbucket tulisi tarkistaa varmistaakseen, ettei sitä ole asetettu julkiseen käyttöön, ellei siihen ole harkittua, dokumentoitua syytä. Suuret pilvipalveluntarjoajat, kuten AWS, Google Cloud ja Azure, tarjoavat kaikki työkaluja liian sallivilla käyttöoikeustasoilla olevien bucketien tunnistamiseen, ja jotkut tarjoavat nyt tilitason asetuksia, joilla kaikki julkinen pääsy estetään oletuksena.
Käyttöoikeuksien lisäksi tunnistehygienia on äärimmäisen tärkeää. Tunniste- ja avaintiedostoja ei pitäisi koskaan missään olosuhteissa tallentaa pilvitallennusbucketeihin. Salaisuuksien hallintatyökalut on suunniteltu nimenomaan API-avainten, tokenien ja tunnistetietojen turvalliseen käsittelyyn, pitäen ne kokonaan poissa tiedostotallennuksesta.
Yksityishenkilöille riski on vähemmän siitä, mitä he hallitsevat, ja enemmän siitä, mitä heidän tietojaan hallussaan pitävät organisaatiot hallitsevat. Käytännön toimet ovat tuttuja: käytä yksilöllisiä, vahvoja salasanoja jokaiselle tilille, jotta yhden palvelun tunnistetietovuoto ei avaa muita, ota käyttöön monivaiheinen todennus aina kun sitä tarjotaan ja seuraa tilejä epätavallisen toiminnan varalta.
Mysterium VPN:n havainnot ovat muistutus siitä, että jotkut merkittävimmistä tietoturvariskeistä eivät sisällä lainkaan kehittyneitä hyökkäyksiä. Ne sisältävät tavallisia hallinnollisia laiminlyöntejä, jotka jäävät tarkistamatta kuukausien tai vuosien ajaksi. Pilvitallennushygienian tarkastaminen ei ole hohdokasta työtä, mutta siinä mittakaavassa, jota tämä raportti kuvaa, se on eräitä vaikuttavimmista turvallisuustoimenpiteistä, joita organisaatio voi tehdä juuri nyt.
