Má configuração expõe 110 mil servidores AWS

Os investigadores da Unit 42 da Palo Alto Networks identificaram uma grande campanha de manipulação e extorsão a várias empresas que utilizam sistemas de cloud. A campanha em causa comprometia os recursos da AWS através de recolha de credenciais de arquivos .env armazenados em milhares de aplicações web.

A exploração destes ficheiros permitiu que os cibercriminosos conseguissem entrar sem autorização nos sistemas das vítimas para se infiltrarem noutras redes.

Os cibercriminosos criaram uma estratégia de exploração de ficheiros .env de vários ambientes expostos em servidores mal-configurados. Este tipo de ficheiros, muitas vezes ignorado nas medidas de segurança, contém dados confidenciais, como códigos de acesso a diversos programas e serviços. Acederam a ficheiros .env em mais de 110 mil domínios e dispunham de uma lista de alvos que ultrapassava os 230 milhões de endpoints únicos.

De acordo com um porta-voz da AWS, “os serviços e a infraestrutura da AWS não estão afetados pelas descobertas dos investigadores. Os problemas descritos resultaram de um agente mal-intencionado que tirou partido de aplicações web mal configuradas — alojadas tanto na cloud como noutros locais — que permitiram o acesso público a ficheiros de variáveis de ambiente (.env). Alguns destes ficheiros continham vários tipos de credenciais, incluindo credenciais AWS, que foram então utilizadas pelo agente mal-intencionado para chamar APIs da AWS. Os ficheiros de variáveis de ambiente nunca devem ser expostos publicamente e, mesmo que mantidos privados, nunca devem conter credenciais da AWS”.

Notícia atualizada a 26 de agosto com alteração do título, declaração do porta-voz da AWS e correções sobre o incidente