Les chercheurs de l’unité 42 (l’entité de conseil et recherches sur les menaces cyber de Palo Alto Networks) ont déployé 320 honeypots, des leurres informatiques, en Amérique du Nord, en Asie Pacifique et en Europe. La démarche , entre juillet et août 2021, visait à analyser le moment, la fréquence et l’origine des attaques observées au sein de l’infrastructure du honeypot.
L’expérience démontre qu’un service mal configuré ou vulnérable est DECOUVERT sur Internet EN quelques minutes PAR un hacker
Les services exposés et mal sécurisés font partie des erreurs de configuration les plus fréquentes dans les environnements cloud. Ces services sont faciles à découvrir sur Internet et constituent un sérieux risque pour la charge applicative du cloud. Des groupes opérateurs de ransomwares, tels que REvil et Mespinoza, ont la réputation d’exploiter les services exposés pour se frayer un accès initial dans l’environnement informatique de leurs victimes. Grâce à une infrastructure leurre composée de 320 nœuds déployés dans le monde entier, les chercheurs ont tenté d’affiner leur compréhension des attaques contre les services exposés dans les clouds publics.
96 % des 80 leurres PostgreSQL ont été compromis en 30 secondes par des pirates
À l’intérieur de l’infrastructure servant d’appât, les chercheurs de l’unité 42 ont ainsi déployé plusieurs instances des protocoles RDP, SSH et SMB, ainsi qu’une base de données PostgreSQL. Les résultats révèlent que 80 % des leurres avaient été compromis en 24 heures seulement, et la totalité en une semaine. Voici ce qui ressort de cette analyse :
- SSH est l’application ayant subi le plus d’attaques, avec un nombre d’attaquants et d’évènements de compromission bien plus élevé que pour les trois autres applications.
- Le leurre SSH le plus visé a été compromis 169 fois le même jour.
- En moyenne, chaque leurre SSH a été compromis 26 fois par jour.
- 30 secondes : c’est le temps qu’il a fallu à un malfaiteur pour compromettre 96 % de nos 80 leurres PostgreSQL déployés dans le monde.
- 85 % : c’est le nombre des IP d’attaquants observées le même jour. Ce chiffre nous indique que les pare-feux de couche 3 avec des règles d’entrée et de sortie basées sur les adresses IP sont inefficaces, puisque les attaquants utilisent rarement les mêmes adresses IP pour lancer leurs offensives. De fait, une liste des adresses IP malveillantes créées aujourd’hui sera très probablement obsolète demain.
La vitesse de gestion des vulnérabilités est généralement mesurée en jours ou en mois. À cette mesure s’oppose le fait que les attaquants aient pu trouver et compromettre nos leurres en quelques minutes, ce qui est particulièrement inquiétant. Cette recherche démontre le risque posé par des services exposés et non sécurisés, et les résultats réaffirment la nécessité de neutraliser et de corriger les incidents de sécurité au plus vite. Preuve en est avec cette expérience : lorsqu’un service mal configuré ou vulnérable est exposé sur Internet, quelques minutes suffisent à un hacker pour le découvrir et le compromettre. Pour corriger les incidents de sécurité, aucune marge d’erreur n’est permise.
Sur les clouds publics, le problème posé par les services exposés et non sécurisés n’est pas une nouveauté. Toutefois, le degré d’agilité de la gestion de l’infrastructure cloud accélère la création et la reproduction de ces erreurs de configuration. L’étude vient souligner les risques et la gravité de ces erreurs de configuration. Exposé sur Internet, un service vulnérable n’échappera pas aux hackers, qui n’ont besoin que de quelques minutes pour le repérer. Dans la mesure où la plupart de ces services Internet sont connectés à d’autres charges applicatives du cloud, toute faille est susceptible d’entraîner la compromission de l’environnement cloud dans son ensemble.
Retrouvez ici tous les détails de cette analyse émanant de l’Unit 42, structure de conseil et d’analyse/recherches des menaces cyber de Palo Alto Networks.
Joel Pascal