Identidades Cloud excessivamente privilegiadas foram encontradas em 99% dos testes de invasão

Em relatório desenvolvido pela X-Force da IBM, pesquisadores notaram que contas cloud com permissões demais são os maiores focos de invasão desses ambientes.

Compartilhar:

Em novo relatório publicado no último sábado (17), a IBM Security X-Force reviu dados coletados entre julho de 2021 e junho de 2022, e constatou que em 99% dos testes promovidos em ambientes cloud foram detectados identidades cloud excessivamente privilegiadas em seu poder de acesso. Isso, segundo a análise, “permite a qualquer invasor que conseguir inserir-se no ambiente a mover-se e explorar componentes ou ativos do cloud”.

 

A X-Force consiste num time de hackers, pesquisadores e analistas focados em ameaças cibernéticas, e seu portifólio inclui produtos e serviços de avanço e defesa de meios em rede, baseados em um olhar panorâmico sobre as ameaças.

 

“Permissões excessivas são algumas das mais comuns falhas de configuração que a X-Force Red observou em seus testes de inserção em cloud conduzidos no ano passado. Junto de excessivas permissões, havia também péssimas políticas de acesso à interfaces de programação e aplicação de contas cloud (API); unido à falta de autenticação de multifatores (MFA), ou de políticas de senhas, ou ainda ambas.” Continua o relatório.

 

Até a publicação dessa pesquisa, a X-Force informou ter rastreado cerca de 3.200 vulnerabilidades relativas ao cloud – representando um aumento de 540% nos últimos seis anos – e um crescimento de 28% em novas vulnerabilidades comparado ao ano passado. 26% das reações da X-Force Incident Response (IR) envolvendo comprometimentos bem-sucedidos de cloud foram resultados diretos de exploração de aplicações vulneráveis.

 

“O grande problema da ocorrência de vazamentos dos acessos cloud é permitir o uso indevido desses ambientes por usuários mal-intencionados enquanto estes permanecem escondidos por tempo indeterminado. Dados da pesquisa revelaram ainda que muitas intrusões em meios cloud ocorreram através do uso de força bruta (quando se usa de tentativa e erro), com preenchimento de credenciais e pulverização de senhas sendo alguns métodos comuns”.

 

 Acessos cloud na Dark Web

 

Outro dado preocupante foram relativos aos acessos cloud postos à venda na Dark Web. Nos dados coletados, a X-Force informou ter detectado mais de 100.000 contas cloud sendo ofertadas no espaço da Dark Web, sendo que 76% deles (80.489) eram de contas do tipo Protocolo de Desktop Remoto (RDP), ou credenciais para sistemas de base do Windows funcionando em algum recurso em nuvem. Isso corresponde a uma quantidade 200% maior do que o que foi encontrado na análise de 2021.

 

“Os pesquisadores da X-Force colhem informações regularmente de dentro da Dark Web para entender melhor o ambiente em que indivíduos relacionados a essas ameaças negociam. Existem vários ‘marketplaces’ e fóruns onde contas cloud são ofertadas, procuradas e vendidas pelo maior lance”. Alerta o relatório.

 

Segundo o parecer, muitas das atividades de risco parecem concentradas em usar esses acesso da nuvem comprometidos para processo de criptomineração. Esse interesse ocorre por uma lista de razões: possibilidade de transferir os custos altos das operações às vítimas, bem como o uso de recursos cloud para driblar vigilâncias internas, e lançamento e fixação de criptomineiros no momento certo e em grande escala. Os invasores ainda podem, com o fim de suas operações, promover pedidos de resgate através de extorsão dos usuários afetados.

 

O preço médio de uma transação envolvendo cloud é de USD$ 10,27. Entretanto, a venda de credenciais comprometidas costumam exigir um sobrepreço de 47% em relação ao acesso RDP. “Os preços médios vieram da análise de mais de 52.000 foruns através de múltiplos marketplaces da Dark Web. Esses dados permitem a comparação de preços entre essas duas formas mais comuns de acesso à venda. Um motivo para essa diferenciação de preços é o fato dessas credenciais ofertadas incluem vários dados de login, possivelmente vindos de outros serviços que foram roubados junto das credenciais”, explica o relatório.

 

Conteúdos Relacionados

Security Report | Overview

Holambra Agroindustrial aumenta precisão da Segurança por meio de parceria

Uso de firewalls as a service SonicWall e da solução de proteção de endpoints SonicWall Capture Client facilitou padronização da...
Security Report | Overview

10% dos ambientes de cloud pública arquivam dados confidenciais

Relatório destaca a necessidade urgente de gerenciamento unificado de exposição à nuvem para conter vazamento de informações e reduzir risco...
Security Report | Overview

Pesquisa aponta que 52% das empresas priorizaram Segurança de IA em cloud

Security Report | Overview

Novo golpe simula aviso da Receita Federal para roubar dados pessoais, alerta estudo

ISH Tecnologia alerta para novo esquema de phishing com falsa ameaça de suspensão de CPF