110.000 domaines web sont actuellement la cible d’attaquants exploitant des fichiers mal configurés sur le cloud AWS, selon l’entreprise de cybersécurité Cyble.
Les attaquants se concentrent sur les applications web non sécurisées, en recherchant des fichiers d’environnement exposant des clés de gestion des identités et des accès (IAM). « Les fichiers .env exposés peuvent en effet contenir des clés et des secrets d’API, des informations d’identification de base de données, des clés de chiffrement et des configurations d’environnement sensibles », ajoutent les chercheurs de Cyble.
Une fois ces clés obtenues, les criminels exécutent API GetCallerIdentity pour vérifier les données contenues, la requête API ListUserspour énumérer les utilisateurs IAM dans le compte AWS et la requête API ListBuckets pour trouver tous les seaux (buckets) S3, précise l’Unité 42 de Palo Alto Networks.
Si ces clés d’accès n’offrent pas les privilèges d’administration recherchés par les attaquants, elles permettent de créer de nouveaux rôles IAM pour élever leurs privilèges jusqu’à obtenir un accès illimité.
Une fois tous les fichiers téléchargés, les cybercriminels déposent une demande de rançon.
Les buckets Amazon S3 sont très prisés des cybercriminels pour les informations d’identification qu’ils contiennent. Cyble suggère d’éviter d’enregistrer les fichiers .env dans le système de contrôle des versions afin d’éviter toute exposition accidentelle. L’usage de variables d’environnement dans l’environnement de déploiement réduit la dépendance à l’égard des fichiers .env, selon les chercheurs.
Et de conclure : « Cette campagne d’extorsion montre l’importance de respecter les bonnes pratiques telles qu’une authentification et des contrôles d’accès robustes, le chiffrement des données, la gestion sécurisée de la configuration, la surveillance et la journalisation ».