Nul
Tusindvis af servere, der kører etcd udsætter brugerlegitimationsoplysninger offentligt på Internettet.
Ifølge sikkerhedsekspert Giovanni Collazo, en hurtig søgning er foretaget via søgemaskinen Shodan afsløret i alt 2,284 etcd servere, der er lækker legitimationsoplysninger, herunder passwords og nøgler, der kræves for cms_admin, mysql_root, og postgres server-infrastruktur.
I et blog-indlæg, Collazo sagde mindst 750mb af lækkede data er tilgængelig online.
Etcd er en form for database, som giver mulighed for opbevaring af data ved klyngedannelse. Open-source-system er i stand til at gemme legitimationsoplysninger, der kræves til forskellige servere og applikationer, og som apps kan læse og skrive data i systemet, rekonfiguration på tværs af servere og netværk bliver en mere strømlinet proces.
Før etcd version 2.1, software var et helt åbent system, og enhver med adgang til API ‘ en kunne ændre nøgler. Denne funktion er nu som standard slået fra, men slap sikkerhed praksis fortsat.
For at kontrollere sine resultater, Collazo skrev et simpelt script, som kaldes etcd API og anmodede om, at download af alle nøgler, som blev offentligt tilgængelige.
Scriptet, at FÅ “http://< ip-adresse >:2379/v2/nøgler/?rekursive=true,” viste, at ud af de 2,284 servere, der findes på det åbne Internet, nøgler blev udsat i tilfælde af mindst 1,485 af dem.
Imidlertid, dette betyder ikke, at alle af dem ikke udsætte legitimationsoplysninger; snarere, de sikkerheds-forsker har valgt at stoppe, når han nåede 750mb mark.
Flere søgninger derefter afslørede, at “adgangskoder til databaser, der af alle slags, AWS hemmelige nøgler, og API-keys og hemmeligheder til en masse tjenester,” blev inkluderet i lækagen.
I alt, 8781 adgangskoder, 650 AWS hemmelige nøgler, 23 hemmelige nøgler, for andre ydelser, og 8 private nøgler var til rådighed for download.
“Jeg vidste ikke at teste nogen af de legitimationsoplysninger, men hvis jeg skulle gætte ville jeg gætte på, at mindst et par af dem skal arbejde, og det er den skræmmende del,” siger forsker. “Enhver med bare et par minutter til overs kunne ende op med en liste over hundredvis af database legitimationsoplysninger, der kan anvendes til at stjæle data eller udføre ransomware angreb.”
Collazo har også foreslået, at det kan være muligt for trussel aktører til at skrive til de servere, der bruger API ‘ en på grund af open access.
“En hacker kan bruge det til at ændre data i etcd og rode med konfiguration og måske endda godkendelse, eller det kan bruges til at gemme exfiltrated data fra andre angreb,” den forsker, der er tilføjet.
Se også: Kunstig intelligens er nøglen til at gøre ‘mere med mindre’ i at sikre virksomhedens cloud-tjenester
Forsker Troy Mursch fortalte Ars Technica, at resultaterne er gyldige, og efter at have gennemført hans egne tests, opdagede også, dårlig sikkerhed praksis såsom brugen af “1234”, som passwords gemt gennem etcd.
Collazo anbefaler, at database-administratorer bør ikke tillade etcd bygger på at være åbent tilgængelige via internettet, og til at overveje at ændre standard adfærd at stoppe fremmede fra læsning og skrivning til etcd servere.
Tidligere og relaterede dækning
Gamle bank Trojan TrickBot har lært nye tricks Netflix beder dig om at begynde hacking, bug bounty program er nu offentlige ManageEngine zero-day-sårbarheder indvirkning tre ud af fem Fortune 500-s
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0