La chasse à l'IoT révèle le ciblage des infrastructures de construction

La chasse à l'IoT par nos propres chercheurs en menaces F5 Labs continue. Son dernier rapport révèle non seulement une recherche active d’appareils IoT vulnérables, mais également le ciblage des infrastructures de construction.

Dans le cadre de leur suivi des attaques sur les appareils IoT – principalement via l’accès Telnet et SSH – les chercheurs en menaces de F5 Labs ont peut-être découvert par inadvertance des tentatives de prise de contrôle de systèmes d’infrastructure de construction, notamment Jenkins et Vagrant. De plus, les systèmes de bases de données (Oracle, MySQL, PostGres et Hadoop) semblent être des cibles courantes, tout comme le fournisseur de surveillance Nagios.

Les informations d'identification utilisées lors des attaques par force brute sont visibles dans le « Top 50 des informations d'identification d'administrateur attaquées » dans lequel tous les systèmes susmentionnés apparaissent en évidence.

Il convient de noter que ces attaques se concentrent sur SSH et Telnet – accès à distance – via les utilisateurs du système d’exploitation créés systématiquement lors de l’installation de ces systèmes. La majorité sont déployés sur un système basé sur Linux et créent automatiquement un utilisateur au niveau du système neutralisé pour l'exécution, conformément aux meilleures pratiques. Par défaut, ces utilisateurs n'ont pas de mot de passe. Mais comme le note la documentation de Vagrant sur la création d'une boîte de base , ces utilisateurs reçoivent souvent des mots de passe et des privilèges de connexion.

Il est à noter que dans le dernier rapport de F5 Labs, c'est exactement cette combinaison qui est utilisée par les attaquants qui tentent d'accéder au système, à savoir « vagrant:vagrant ». Il est également intéressant de noter que « deploy/deploy » fait partie des cinquante identifiants les plus attaqués. Outre les informations d'identification de l'infrastructure de construction pour Jenkins et Vagrant, cela indique une prise de conscience croissante de l'accessibilité de ces systèmes et de l'environnement riche en cibles qu'ils offrent. L’accès à un système de build ou de déploiement offrirait une multitude d’opportunités aux attaquants étant donné la nature distribuée de ces systèmes et leur objectif. L'inclusion d'un utilisateur Jenkins pourrait apparemment permettre l'accès au code source, ce qui à son tour offre d'innombrables possibilités d'injecter une variété de codes malveillants dans une application ou un système.

Construire des infrastructures devient de plus en plus vital pour les entreprises. En effet, 90 % des utilisateurs de Jenkins le considèrent comme essentiel à la mission. Mais ce n’est pas seulement Jenkins, ce sont les frameworks d’automatisation et l’infrastructure de construction en général.

Selon notre dernière enquête sur l’état de la distribution des application , un pourcentage significatif d’organisations utilisent l’automatisation, en général, pour appliquer des changements en production. Cela signifie invariablement que des systèmes comme Vagrant sont actifs dans des environnements de production, mais pas nécessairement isolés.

La prudence est de mise et une attention particulière doit être portée aux informations d’identification utilisées par l’infrastructure de build et les systèmes associés. Compte tenu de l’objectif de ces systèmes, il est doublement important de faire attention aux informations d’identification et de limiter (voire de refuser complètement) accès à distance avec des services de sécurité externes si nécessaire.

Alors que l’automatisation consomme de plus en plus d’espace dans l’environnement de production, il incombe aux chefs d’entreprise et aux professionnels de la sécurité d’être conscients de la menace posée par la compromission de tels systèmes . Comme l’ont découvert nos chercheurs en menaces, les attaquants sont déjà conscients de la richesse des cibles offertes par les systèmes de construction et d’automatisation et recherchent activement un accès.

Restez en sécurité là-bas.