Mike Pratt
Tisíce serverů provozovaných podniky a dalšími organizace otevřeně sdílejí přihlašovací údaje, které mohou každému povolit na internetu se přihlásit a přečíst nebo upravit potenciálně citlivé data uložená online.
V blogu zveřejněném koncem minulého týdne vědec Giovanni Collazo řekl, že se rychle vrátil dotaz na vyhledávací modul Shodan téměř 2 300 serverů vystavených Internetu, na nichž běží atd., typ databáze, kterou používají počítačové klastry a jiné typy sítí ukládat a distribuovat hesla a nastavení konfigurace potřebná různé servery a aplikace. etcd přichází s programováním rozhraní, které reaguje na jednoduché dotazy, které se ve výchozím nastavení vrátí administrativní přihlašovací údaje, aniž by to bylo nutné autentizace. Hesla, šifrovací klíče a další formy přihlašovací údaje se používají k přístupu k databázím MySQL a PostgreSQL, systémy pro správu obsahu a další typy výroby servery.
Collazo řekl, že napsal jednoduchý skript, který prošel 2 284 etcd servery nalezené v jeho hledání Shodan. Using the query GEThttp://:2379/v2/keys/?recursive=true, the script wasnavržen tak, aby vrátil všechna pověření uložená na serverech v formát, který by hackeři snadno použili. Collazo zastavil skript poté, co shromáždil asi 750 megabajtů dat z téměř 1 500 serverů. Součástí zájezdu bylo:
- 8 781 hesel
- 650 přístupových klíčů webových služeb Amazon
- 23 tajných klíčů
- 8 soukromých klíčů
„Netestoval jsem žádné z pověřovacích údajů, ale kdybych to musel uhodnout by hádat, že alespoň několik z nich by mělo fungovat, a to je děsivá část, “napsal Collazo.” Kdokoli, kdo má jen pár minut náhradní by mohl skončit se seznamem stovek databázových údajů které lze použít k odcizení dat nebo k provedení ransomwaru útoky. “
Výzkumník Troy Mursch řekl Arsovi, že to nezávisle ověřil zjištění a věří, že servery vystavené na internetu atd. představují vážný zájem o kohokoli provozujícího. Také zveřejnil obrázek jednoho výsledku dostal z vlastního dotazu zaslaného do otevřené databáze. Obrázek ukázal heslo, které poskytovalo root přístup k MySQL databáze. Exponovaný server etcd nebyl jediným příkladem chudých bezpečnostní postupy. Jak ukazuje obrázek výše, heslo MySQL sám byl “1234”.
2 000+ veřejně přístupných instalací atd. Přineslo 8 781 hesla. @gcollazo podrobnosti, co zde našel: https://t.co/tRxNlo8q5J
Je to opravdu tak jednoduché jako http: // atd instance>:2379/v2/keys/?recursive=true
Zde je příklad nalezeno MySQL hesla: pic.twitter.com/F3cyWj19P8
– Zpráva o chybných paketech (@ bad_packets) 18. března 2018
Je možné, že vícefaktorová autentizace a další bezpečnostní opatření zabrání mnoha pověřením používají se k získání přístupu k serverům, které chrání. Přesto, jak řekl Collazo, i když jsou i stovky pověřovacích listin dostatečné k získání mocného administrativního přístupu, budou poskytují cennou příležitost zlodějům dat a ransomwaru podvodníci.
Mursch a Collazo uvedli, že kdykoli je to možné, atd. Servery by neměly být vystaveny internetu a správci by se měli změnit jejich výchozí nastavení, aby servery předávaly přihlašovací údaje, pouze pokud uživatelé se autentizují. Collazo také řekl atd. Udržovatelé by měl zvážit změnu výchozího chování, které bude vyžadováno autentizace.
