A busca pela IoT pelos pesquisadores de ameaças do nosso F5 Labs continua. Seu último relatório expõe não apenas uma busca ativa por dispositivos IoT vulneráveis, mas também o direcionamento de infraestrutura de construção.
Como parte do rastreamento de ataques a dispositivos IoT – principalmente via telnet e acesso SSH – os pesquisadores de ameaças do F5 Labs talvez tenham descoberto inadvertidamente tentativas de assumir o controle de sistemas de infraestrutura de construção, incluindo Jenkins e Vagrant. Além disso, sistemas de banco de dados – Oracle, MySQL, PostGres e Hadoop – parecem ser alvos comuns, assim como o provedor de monitoramento, Nagios.
As credenciais usadas durante ataques de força bruta são vistas no “Top 50 Attacked Admin Creds”, no qual todos os sistemas mencionados acima aparecem com destaque.
Vale ressaltar que esses ataques são focados em SSH e telnet – acesso remoto – por meio dos usuários do sistema operacional rotineiramente criados na instalação desses sistemas. A maioria é implantada em um sistema baseado em Linux e cria automaticamente um usuário castrado no nível do sistema para execução, conforme as práticas recomendadas. Por padrão, esses usuários não têm senha. Mas, como observa a documentação do Vagrant sobre a criação de uma caixa base , esses usuários geralmente recebem senhas e privilégios de login.
Este usuário deve ser configurado com o par de chaves inseguro que o Vagrant usa como padrão para tentar usar o SSH. Além disso, embora o Vagrant use autenticação baseada em chave por padrão, é uma convenção geral definir a senha do usuário "vagrant" como "vagrant".
Vale ressaltar que no último relatório do F5 Labs, é exatamente essa combinação que é usada pelos invasores que tentam acessar o sistema, ou seja, “vagrant:vagrant”. Interessante também é a inclusão no top cinquenta das credenciais atacadas de “deploy/deploy”. Junto com as credenciais de infraestrutura de construção identificáveis para Jenkins e Vagrant, isso indica uma conscientização crescente da acessibilidade desses sistemas e do ambiente rico em alvos que eles oferecem. O acesso a um sistema de construção ou implantação ofereceria uma grande oportunidade para invasores, dada a natureza distribuída desses sistemas e sua finalidade. Incluir um usuário Jenkins poderia aparentemente permitir o acesso ao código-fonte, o que por sua vez oferece oportunidades incalculáveis para injetar uma variedade de códigos maliciosos dentro de um aplicativo ou sistema.
Construir infraestrutura é cada vez mais vital para os negócios. Ou seja, 90% dos usuários do Jenkins consideram que ele é de missão crítica. Mas não é só o Jenkins, são estruturas de automação e infraestrutura de construção em geral.
Uma porcentagem significativa de organizações está usando automação, em geral, para levar mudanças à produção, com base em nossa última pesquisa State of Application Delivery . Isso invariavelmente significa que sistemas como o Vagrant estão ativos em ambientes de produção, mas não necessariamente isolados.
É necessário ter cautela e considerar cuidadosamente as credenciais usadas pela infraestrutura de construção e sistemas associados. Dada a finalidade desses sistemas, é duplamente importante tomar cuidado com as credenciais e limitar (se não negar completamente) o acesso remoto com serviços de segurança externos, se necessário.
À medida que a automação consome mais do ambiente de produção, é necessário que os líderes empresariais e profissionais de segurança estejam cientes da ameaça representada pelo comprometimento desses sistemas . Como nossos pesquisadores de ameaças descobriram, os invasores já estão cientes do grande potencial de alvos que os sistemas de construção e automação oferecem e estão buscando acesso ativamente.
Fique seguro lá fora.