Исследователи из Pentera Labs раскрыли детали масштабной проблемы безопасности, связанной с использованием намеренно уязвимого программного обеспечения в корпоративных средах. Ключевые выводы, представленные на вебинаре 12 февраля, демонстрируют, как инструменты, предназначенные для обучения специалистов по кибербезопасности, становятся точками входа для злоумышленников. Речь идет о приложениях вроде OWASP Juice Shop, DVWA (Damn Vulnerable Web App), Hackazon и bWAPP, которые изначально спроектированы небезопасными для отработки навыков взлома и тестирования в изолированных лабораторных условиях.
Главная проблема заключается не в самом существовании этих инструментов, а в способах их развертывания и обслуживания. Исследование показало повторяющийся паттерн: вместо использования в закрытых изолированных средах, эти приложения размещаются в публичном интернете. Более того, они функционируют внутри активных облачных аккаунтов и часто связаны с облачными идентификаторами (cloud identities), обладающими избыточно широкими правами доступа. Это превращает учебный полигон в реальную брешь в периметре безопасности.
Масштаб проблемы подтверждается собранными количественными данными. Специалисты Pentera Labs верифицировали около 2000 активных и открытых для доступа экземпляров таких обучающих приложений. Около 60% из них размещались на инфраструктуре, управляемой самими клиентами. Наибольшую тревогу вызывает тот факт, что примерно 20% обнаруженных инстансов уже были скомпрометированы: в них найдены артефакты, оставленные злоумышленниками.
Уязвимая инфраструктура была обнаружена на платформах всех основных облачных провайдеров, включая AWS (Amazon Web Services), Azure от Microsoft и GCP (Google Cloud Platform). Проблема затрагивает не только малый бизнес, но и крупнейшие мировые корпорации: подобные паттерны развертывания наблюдались в организациях из списка Fortune 500. В контексте затронутых вендоров и технологий в исследовании также упоминаются такие крупные игроки рынка, как Palo Alto, F5 и Cloudflare.
Технический анализ выявил критические ошибки конфигурации, допускаемые администраторами. Приложения часто разворачиваются с настройками по умолчанию без какого-либо укрепления защиты (hardening) и при минимальной сетевой изоляции. Одно такое приложение служит для хакера первоначальной точкой опоры. Используя чрезмерно либеральные облачные роли, привязанные к учебному приложению, атакующие осуществляют горизонтальное перемещение, получая доступ к другим ресурсам облачной среды далеко за пределами первоначального хоста.
Злоумышленники активно эксплуатируют эти возможности «в дикой природе». Найденные вредоносные артефакты включают инструменты для криптомайнинга, веб-шеллы и механизмы обеспечения постоянного присутствия (persistence) в системе. Для успешной атаки хакерам не требуются уязвимости нулевого дня или сложные техники: они используют стандартные учетные данные, общеизвестные слабые места этих приложений и факт их публичной доступности.
Корень проблемы кроется в стратегических ошибках управления жизненным циклом ПО. Обучающие и демонстрационные среды часто классифицируются как временные или имеющие низкий уровень риска. В результате они исключаются из стандартных процедур мониторинга безопасности, регулярных проверок доступа и процессов управления жизненным циклом. Системы остаются доступными в сети еще долгое время после того, как необходимость в них отпала.
Исследование подчеркивает, что маркировка среды как «тестовой» или «учебной» не снижает реальные риски. Если такое приложение обладает привилегиями и выставлено в интернет, оно становится полноценной частью поверхности атаки организации. Игнорирование этого факта приводит к тому, что инструменты, созданные для повышения квалификации защитников, фактически работают на обогащение атакующих.
Изображение носит иллюстративный характер
Главная проблема заключается не в самом существовании этих инструментов, а в способах их развертывания и обслуживания. Исследование показало повторяющийся паттерн: вместо использования в закрытых изолированных средах, эти приложения размещаются в публичном интернете. Более того, они функционируют внутри активных облачных аккаунтов и часто связаны с облачными идентификаторами (cloud identities), обладающими избыточно широкими правами доступа. Это превращает учебный полигон в реальную брешь в периметре безопасности.
Масштаб проблемы подтверждается собранными количественными данными. Специалисты Pentera Labs верифицировали около 2000 активных и открытых для доступа экземпляров таких обучающих приложений. Около 60% из них размещались на инфраструктуре, управляемой самими клиентами. Наибольшую тревогу вызывает тот факт, что примерно 20% обнаруженных инстансов уже были скомпрометированы: в них найдены артефакты, оставленные злоумышленниками.
Уязвимая инфраструктура была обнаружена на платформах всех основных облачных провайдеров, включая AWS (Amazon Web Services), Azure от Microsoft и GCP (Google Cloud Platform). Проблема затрагивает не только малый бизнес, но и крупнейшие мировые корпорации: подобные паттерны развертывания наблюдались в организациях из списка Fortune 500. В контексте затронутых вендоров и технологий в исследовании также упоминаются такие крупные игроки рынка, как Palo Alto, F5 и Cloudflare.
Технический анализ выявил критические ошибки конфигурации, допускаемые администраторами. Приложения часто разворачиваются с настройками по умолчанию без какого-либо укрепления защиты (hardening) и при минимальной сетевой изоляции. Одно такое приложение служит для хакера первоначальной точкой опоры. Используя чрезмерно либеральные облачные роли, привязанные к учебному приложению, атакующие осуществляют горизонтальное перемещение, получая доступ к другим ресурсам облачной среды далеко за пределами первоначального хоста.
Злоумышленники активно эксплуатируют эти возможности «в дикой природе». Найденные вредоносные артефакты включают инструменты для криптомайнинга, веб-шеллы и механизмы обеспечения постоянного присутствия (persistence) в системе. Для успешной атаки хакерам не требуются уязвимости нулевого дня или сложные техники: они используют стандартные учетные данные, общеизвестные слабые места этих приложений и факт их публичной доступности.
Корень проблемы кроется в стратегических ошибках управления жизненным циклом ПО. Обучающие и демонстрационные среды часто классифицируются как временные или имеющие низкий уровень риска. В результате они исключаются из стандартных процедур мониторинга безопасности, регулярных проверок доступа и процессов управления жизненным циклом. Системы остаются доступными в сети еще долгое время после того, как необходимость в них отпала.
Исследование подчеркивает, что маркировка среды как «тестовой» или «учебной» не снижает реальные риски. Если такое приложение обладает привилегиями и выставлено в интернет, оно становится полноценной частью поверхности атаки организации. Игнорирование этого факта приводит к тому, что инструменты, созданные для повышения квалификации защитников, фактически работают на обогащение атакующих.
