Identidades Cloud excessivamente privilegiadas foram encontradas em 99% dos testes de invasão

Em relatório desenvolvido pela X-Force da IBM, pesquisadores notaram que contas cloud com permissões demais são os maiores focos de invasão desses ambientes.

Compartilhar:

Em novo relatório publicado no último sábado (17), a IBM Security X-Force reviu dados coletados entre julho de 2021 e junho de 2022, e constatou que em 99% dos testes promovidos em ambientes cloud foram detectados identidades cloud excessivamente privilegiadas em seu poder de acesso. Isso, segundo a análise, “permite a qualquer invasor que conseguir inserir-se no ambiente a mover-se e explorar componentes ou ativos do cloud”.

 

A X-Force consiste num time de hackers, pesquisadores e analistas focados em ameaças cibernéticas, e seu portifólio inclui produtos e serviços de avanço e defesa de meios em rede, baseados em um olhar panorâmico sobre as ameaças.

 

“Permissões excessivas são algumas das mais comuns falhas de configuração que a X-Force Red observou em seus testes de inserção em cloud conduzidos no ano passado. Junto de excessivas permissões, havia também péssimas políticas de acesso à interfaces de programação e aplicação de contas cloud (API); unido à falta de autenticação de multifatores (MFA), ou de políticas de senhas, ou ainda ambas.” Continua o relatório.

 

Até a publicação dessa pesquisa, a X-Force informou ter rastreado cerca de 3.200 vulnerabilidades relativas ao cloud – representando um aumento de 540% nos últimos seis anos – e um crescimento de 28% em novas vulnerabilidades comparado ao ano passado. 26% das reações da X-Force Incident Response (IR) envolvendo comprometimentos bem-sucedidos de cloud foram resultados diretos de exploração de aplicações vulneráveis.

 

“O grande problema da ocorrência de vazamentos dos acessos cloud é permitir o uso indevido desses ambientes por usuários mal-intencionados enquanto estes permanecem escondidos por tempo indeterminado. Dados da pesquisa revelaram ainda que muitas intrusões em meios cloud ocorreram através do uso de força bruta (quando se usa de tentativa e erro), com preenchimento de credenciais e pulverização de senhas sendo alguns métodos comuns”.

 

 Acessos cloud na Dark Web

 

Outro dado preocupante foram relativos aos acessos cloud postos à venda na Dark Web. Nos dados coletados, a X-Force informou ter detectado mais de 100.000 contas cloud sendo ofertadas no espaço da Dark Web, sendo que 76% deles (80.489) eram de contas do tipo Protocolo de Desktop Remoto (RDP), ou credenciais para sistemas de base do Windows funcionando em algum recurso em nuvem. Isso corresponde a uma quantidade 200% maior do que o que foi encontrado na análise de 2021.

 

“Os pesquisadores da X-Force colhem informações regularmente de dentro da Dark Web para entender melhor o ambiente em que indivíduos relacionados a essas ameaças negociam. Existem vários ‘marketplaces’ e fóruns onde contas cloud são ofertadas, procuradas e vendidas pelo maior lance”. Alerta o relatório.

 

Segundo o parecer, muitas das atividades de risco parecem concentradas em usar esses acesso da nuvem comprometidos para processo de criptomineração. Esse interesse ocorre por uma lista de razões: possibilidade de transferir os custos altos das operações às vítimas, bem como o uso de recursos cloud para driblar vigilâncias internas, e lançamento e fixação de criptomineiros no momento certo e em grande escala. Os invasores ainda podem, com o fim de suas operações, promover pedidos de resgate através de extorsão dos usuários afetados.

 

O preço médio de uma transação envolvendo cloud é de USD$ 10,27. Entretanto, a venda de credenciais comprometidas costumam exigir um sobrepreço de 47% em relação ao acesso RDP. “Os preços médios vieram da análise de mais de 52.000 foruns através de múltiplos marketplaces da Dark Web. Esses dados permitem a comparação de preços entre essas duas formas mais comuns de acesso à venda. Um motivo para essa diferenciação de preços é o fato dessas credenciais ofertadas incluem vários dados de login, possivelmente vindos de outros serviços que foram roubados junto das credenciais”, explica o relatório.

 

Conteúdos Relacionados

Security Report | Overview

ANPD divulga atualização da agenda regulatória para o biênio 2025/26

Documento confere maior transparência, previsibilidade e eficiência para o processo regulatório da Autoridade
Security Report | Overview

Supply Chain: Integração e monitoramento podem ajudar a proteger essa rede?

Security Report | Overview

Apenas 11% das empresas corrigem vulnerabilidades com eficiência, diz estudo

Como resultado, as organizações estão expostas por longos períodos, enquanto o tempo médio até a exploração por um invasor diminuiu...
Security Report | Overview

Previsões de ameaças para 2025: cibercrime pode se tornar mais sofisticado?

À medida que o crime cibernético evolui, a equipe do FortiGuard Labs previu várias tendências sem precedentes emergindo em 2025...