Уязвимые обучающие приложения открывают доступ к облакам Fortune 500 для криптомайнинга

Исследователи из Pentera Labs раскрыли детали масштабной проблемы безопасности, связанной с использованием намеренно уязвимого программного обеспечения в корпоративных средах. Ключевые выводы, представленные на вебинаре 12 февраля, демонстрируют, как инструменты, предназначенные для обучения специалистов по кибербезопасности, становятся точками входа для злоумышленников. Речь идет о приложениях вроде OWASP Juice Shop, DVWA (Damn Vulnerable Web App), Hackazon и bWAPP, которые изначально спроектированы небезопасными для отработки навыков взлома и тестирования в изолированных лабораторных условиях.
Уязвимые обучающие приложения открывают доступ к облакам Fortune 500 для криптомайнинга
Изображение носит иллюстративный характер

Главная проблема заключается не в самом существовании этих инструментов, а в способах их развертывания и обслуживания. Исследование показало повторяющийся паттерн: вместо использования в закрытых изолированных средах, эти приложения размещаются в публичном интернете. Более того, они функционируют внутри активных облачных аккаунтов и часто связаны с облачными идентификаторами (cloud identities), обладающими избыточно широкими правами доступа. Это превращает учебный полигон в реальную брешь в периметре безопасности.

Масштаб проблемы подтверждается собранными количественными данными. Специалисты Pentera Labs верифицировали около 2000 активных и открытых для доступа экземпляров таких обучающих приложений. Около 60% из них размещались на инфраструктуре, управляемой самими клиентами. Наибольшую тревогу вызывает тот факт, что примерно 20% обнаруженных инстансов уже были скомпрометированы: в них найдены артефакты, оставленные злоумышленниками.

Уязвимая инфраструктура была обнаружена на платформах всех основных облачных провайдеров, включая AWS (Amazon Web Services), Azure от Microsoft и GCP (Google Cloud Platform). Проблема затрагивает не только малый бизнес, но и крупнейшие мировые корпорации: подобные паттерны развертывания наблюдались в организациях из списка Fortune 500. В контексте затронутых вендоров и технологий в исследовании также упоминаются такие крупные игроки рынка, как Palo Alto, F5 и Cloudflare.

Технический анализ выявил критические ошибки конфигурации, допускаемые администраторами. Приложения часто разворачиваются с настройками по умолчанию без какого-либо укрепления защиты (hardening) и при минимальной сетевой изоляции. Одно такое приложение служит для хакера первоначальной точкой опоры. Используя чрезмерно либеральные облачные роли, привязанные к учебному приложению, атакующие осуществляют горизонтальное перемещение, получая доступ к другим ресурсам облачной среды далеко за пределами первоначального хоста.

Злоумышленники активно эксплуатируют эти возможности «в дикой природе». Найденные вредоносные артефакты включают инструменты для криптомайнинга, веб-шеллы и механизмы обеспечения постоянного присутствия (persistence) в системе. Для успешной атаки хакерам не требуются уязвимости нулевого дня или сложные техники: они используют стандартные учетные данные, общеизвестные слабые места этих приложений и факт их публичной доступности.

Корень проблемы кроется в стратегических ошибках управления жизненным циклом ПО. Обучающие и демонстрационные среды часто классифицируются как временные или имеющие низкий уровень риска. В результате они исключаются из стандартных процедур мониторинга безопасности, регулярных проверок доступа и процессов управления жизненным циклом. Системы остаются доступными в сети еще долгое время после того, как необходимость в них отпала.

Исследование подчеркивает, что маркировка среды как «тестовой» или «учебной» не снижает реальные риски. Если такое приложение обладает привилегиями и выставлено в интернет, оно становится полноценной частью поверхности атаки организации. Игнорирование этого факта приводит к тому, что инструменты, созданные для повышения квалификации защитников, фактически работают на обогащение атакующих.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка