Um ponto de acesso não guardado
Durante a investigação de quatro meses dos pesquisadores da WatchTowr, conseguiram assumir o controle de aproximadamente 150 baldes negligenciados da AWS S3 pertencentes a uma variedade de usuários, incluindo empresas da Fortune 500, agências governamentais, instituições acadêmicas e empresas de segurança cibernética. Esses ativos de nuvem abandonados ainda estavam sendo consultados por meio de milhões de solicitações HTTP. Organizações e sistemas legítimos procuraram recursos críticos, como atualizações de software, máquinas virtuais não assinadas, arquivos JavaScript e configurações de servidores. Durante dois meses, mais de 8 milhões de chamadas foram registradas.
As implicações são impressionantes: essas solicitações poderiam ter sido facilmente manipuladas por maus atores para fornecer malware, coletar informações confidenciais ou até orquestrar ataques da cadeia de suprimentos em larga escala. O WatchTowr alertou que as violações dessa magnitude poderiam superar o infame ataque de Solarwinds 2020 em escala e impacto. Entre os incidentes descobertos pelo WatchTowr estão vários exemplos alarmantes:
- Os baldes S3 abandonados vinculados aos fornecedores de eletrodomésticos SSL VPN foram descobertos como ainda servindo modelos e configurações de implantação.
- Um comprometimento mais antigo do GitHub de 2015 expôs um balde S3 vinculado a um popular compilador WebAssembly de código aberto.
- Os pesquisadores descobriram sistemas puxando imagens de máquinas virtuais de recursos abandonados.
Uma pequena supervisão com grandes consequências
As entidades que tentam se comunicar com esses ativos abandonados incluem organizações governamentais (como NASA e agências estaduais nos Estados Unidos), redes militares, empresas da Fortune 100, grandes bancos e universidades. O fato de essas grandes organizações ainda estarem confiando em recursos mal administrados ou esquecidos é uma prova da natureza difundida dessa supervisão.
