- infoCOM.UZ - http://infocom.uz -

Защита публичных облаков от угроз

Уязвимости в RDP и SSH

В средах Amazon по умолчанию включен доступ по протоколу RDP, который не поддерживает двухфакторную аутентификацию и поэтому часто подвергается брутфорс-атакам. Некоторые злоумышленники выбирают типичные дефолтные имена пользователей (такие как «Administrator») и осуществляют тысячи попыток подобрать нужную комбинацию. Другие пытаются угадать уникальное имя пользователя администратора, подставляя наиболее распространенные фамилии в пароли. Существуют алгоритмы, которые ограничивают и рандомизируют количество попыток и делают перерывы между ними, чтобы затруднить автоматическое обнаружение. Еще один метод — подбор пароля для аккаунта SSM-User, создаваемого программой SSM Agent, которая часто бывает предустановлена в средах AWS.

Аналогичным брутфорс-атакам постоянно подвергаются службы SSH. И хотя протокол SSH более надежен в сравнении с RDP (в частности, за счет двухфакторной аутентификации), некорректно сконфигурированная служба может запросто предоставить доступ вредоносному агенту. В первой половине 2019 года [1] из всех атак на ханипоты «Лаборатории Касперского» в Интернете вещей 12% составили именно брутфорс-атаки на протоколы SSH и RDP.

Уязвимости в стороннем ПО

Уязвимости ПО — еще одна угроза для пользователей публичных облаков. Вот лишь некоторые примеры того, как злоумышленники задействовали уязвимости в сторонних программах, чтобы исполнить вредоносный код на виртуальных машинах в публичном облаке.

3 июня 2019 года была обнаружена уязвимость в Exim [2] — популярном почтовом сервере, часто развертываемом в публичных облаках. Она предоставляла возможность удаленного исполнения кода. Если сервер был запущен с root-привилегиями (а в большинстве случаев так и было), вредоносный код, запускаемый на этом сервере, также исполнялся в root-режиме. В июле 2019 года в Exim была обнаружена еще одна уязвимость, позволявшая удаленно исполнять код с root-привилегиями.

Другой пример — взлом официального веб-сайта Linux Mint в 2016 году. В результате атаки были модифицированы дистрибутивы: злоумышленники внедрили IRC-бэкдор, позволявший также проводить DDOS-атаки и подгружать дополнительные вредоносные модули на зараженные машины. Кроме того, были обнаружены вредоносные модули node.js, зараженные контейнеры в Docker Hub [3] и т. д.

Как уменьшить риски

Злоумышленники проявляют невероятную изобретательность, пытаясь найти новые точки входа в инфраструктуры. Когда инфраструктур много, все они спроектированы схожим образом, имеют одни и те же слабые места и при этом ошибочно считаются достаточно безопасными, задача киберпреступников многократно облегчается. Чтобы уменьшить риски и более эффективно ими управлять, необходимо обеспечить безопасность всех ваших виртуальных машин. Базовой защиты от вредоносного ПО в данном случае будет недостаточно. Практика показывает, что каждой операционной системе в инфраструктуре требуется комплексная многоуровневая защита. Такого же мнения придерживаются провайдеры публичных облачных служб.

Надежное решение, такое как Kaspersky Security для виртуальных и облачных сред, помогает реализовать этот подход. Оно защищает рабочие нагрузки на различных платформах и задействует технологии безопасности на нескольких уровнях: повышает общую устойчивость системы, предотвращает эксплойты, ведет мониторинг целостности файлов, блокирует сетевые атаки, проводит статический и поведенческий анализ вредоносного ПО и т. д. Более подробную информацию о нашем решении можно найти здесь [4].

Источник [5]