Vor kurzem entdeckten Sicherheitsforscher einen gesunden Versagen mit realen Folgen: Web-Anwendungen für Schulungen und Tests - wie DVWA, OWASP Juice Shop, Hackazon oder bWAPP - wurden aus dem Internet auf Cloud-Konten mit hohen Privilegien zugänglich, und die Angreifer nutzten es bald. Was in vielen Teams verwendet wird, um Hacktechniken zu lehren oder Kontrollen zu validieren, wurde als Hintertür für produktive Umgebungen in Lieferanten wie AWS, Google Cloud und Azure ausgesetzt.
Die von den Pentera-Laboren dokumentierte und mit spezialisierten Mitteln gesammelte Erkenntnis zeigt, dass es Hunderte und Hunderte von lebenden Instanzen dieser bewusst gefährdeten Anwendungen gab, die im öffentlichen Netz veröffentlicht wurden. Nach den Untersuchungsdaten lagen sie nahe bei 1,926 Testanwendungen ausgesetzt, und ein erheblicher Teil von ihnen angekündigt Cloud-Berechtigungen oder wurde von Rollen mit übermäßigen Privilegien begleitet, brechen die Grundregel von "Minor Privileg". Sie können die Arbeiten der Forscher auf der Pentera-Laborseite überprüfen: Pentera Labs und die journalistische Begleitung BlepingComputer.
Dies ist keine Theorie: Analysten fanden Beweise für eine aktive Ausbeutung. In vielen Fällen haben sie bösartige Artefakte überprüft - von Kryptomoneda-Mineren bis zu Webshells - die ein echtes Engagement gezeigt. Im Satz von DVWA-Instanzen analysiert beispielsweise etwa 20% enthielt Spuren von schädlicher Aktivität. Die Angreifer nutzten Werkzeuge wie XMRig, um Monero zu Mine, und implementierten Mechanismen, um in den betroffenen Maschinen zu bleiben, einschließlich eines Persistenz-Skript, das sich selbst restaurierte und die Mine von öffentlichen Repositories heruntergeladen. Das XMRig-Projekt wird im Projektarchiv öffentlich dokumentiert: XMRig in GitHub.
Neben dem Bergbau umfassten dokumentierte Vorfälle die Installation eines PHP Webshell namens filemanager. php, die es erlaubt, Befehle auf dem System zu lesen, zu schreiben, zu löschen, herunterzuladen und auszuführen. Der Webshell-Code hielt geprägte Anmeldeinformationen und, neugierig, hatte die Zeitzone angepasst an Europa / Minsk, ein Detail, dass die Forscher wie möglich Hinweise auf den Ursprung der Betreiber.
Wie bist du dazu gekommen? In vielen Fällen wurden die Test-Anwendungen in Cloud-Konten implementiert, die mit Rollen mit umfangreichen Berechtigungen verbunden sind, ohne das Prinzip des kleinen Privilegs anzuwenden und die Anmeldeinformationen standardmäßig oder ohne Rotation beibehalten. Mit anderen Worten, drei klassische Fehler wurden kombiniert: eine Internet-Testumgebung aussetzen, den Cloud-Zugang nicht einschränken und die Anmeldedaten nicht korrekt verwalten. Die von den Ermittlern gefundenen Anmeldeinformationen hätten es einem Angreifer erlauben können, in Objekt-Stores wie S3, GCS oder Azure Blob zu lesen und zu schreiben, auf verwaltete Geheimnisse zuzugreifen, mit Containerrekorden zu interagieren oder sogar Kontoadministratoren zu besteigen.
Die in der Studie identifizierten Unternehmen umfassen Namen, die zwischen Fortune 500 und Sicherheitsanbietern anerkannt wurden, die notifiziert wurden und zur Behebung der Vorfälle nach der Bekanntmachung vorgegangen wurden. Die Folge unterstreicht, dass selbst Organisationen mit guter Praxis auf vielen Fronten in die Verwaltung nicht-produktiver Umgebungen stolpern können.
Die praktische Lehre ist einfach und dringend: Testumgebungen müssen mit mindestens der gleichen Sorgfalt behandelt werden wie Systeme in der Produktion. Dies ist eine vollständige Bestandsaufnahme der Ressourcen in der Cloud - einschließlich Laboratorien, Demos und Trainingsmaschinen - und sie aus kritischen Umgebungen zu isolieren. Es ist auch wichtig, Rollen mit minimalen Privilegien anzuwenden, alle standardmäßigen Anmeldeinformationen zu ändern und automatische Entscheidungen für temporäre Ressourcen festzulegen. Cloud-Anbieter halten detaillierte Anleitungen für bewährte Identitätsmanagement-Praktiken und Zugang, die verfolgt werden sollten, wie zum Beispiel AWSs AMI-Dokumentation: Gute Praxis von AMI (AWS), die Google Cloud IAM Anleitung: IAM (Google Cloud) und Zugriffskontrollressourcen in Azure: Azure Active Directory.
In Bezug auf Erkennung und Antwort sollten typische Missbrauchsmuster überwacht werden: ungewöhnliche Verwendung von CPU und Netzwerk (die Bergbau melden können), Downloads von ungewöhnlichen Websites (z.B. öffentliche Repositorien oder Cloud-Speicherdienste), Erstellung von persistenten Prozessen und Anwesenheit von Dateien oder Skripten mit base64-codierten Inhalten. Es wird auch empfohlen, den Zugang zu geheimen Managern und Container-Bildeinlagen zu prüfen und Konfigurations- und Bereitstellungsprotokoll zu überprüfen, um Instanzen zu erkennen, die nicht öffentlich sein sollten.
Wenn Ihr Team Test- oder Trainingsumgebungen aufrechterhält, ist die Überprüfung der Bereitstellungsvorlagen und -prozesse eine Priorität. Werkzeuge und Projekte, die die Sicherheit wie DVWA, OWASP In den Warenkorb oder BWAPP sind wertvolle Ressourcen, aber seine Verwendung in Umgebungen, die mit hochprivilegierten Konten ohne entsprechende Kontrollen verbunden sind, macht ein didaktisches Werkzeug zu einem fast garantierten Risiko.
Die Geschichte lässt auch eine größere Warnung: Sicherheit ist nicht nur Technologie, es ist operative Disziplin. Die Beibehaltung eines Inventars, die Umsetzung weniger privilegierter Politiken, rotierender Anmeldeinformationen, die Automatisierung von Entscheiden und Segmentierungsnetzwerken und Konten sind grundlegende Kontrollen, die, wenn sie scheitern, greifbare Konsequenzen haben. Um die Natur dieser Bedrohungen und die Forschung hinter der Erkenntnis zu vertiefen, können Sie die öffentlichen Materialien der Forscher lesen und der spezialisierten Abdeckung zuverlässiger technologischer Medien folgen.
Am Ende ist die Moral klar: Unterschätzen Sie nicht, was eine "laborative" Anwendung tun kann, wenn sie mit einem Cloud-Konto mit übermäßigen Berechtigungen kombiniert. Was als Testumgebung beginnt, kann am Ende der Einstiegspfad für krypt- min-, schädliche Beharrlichkeit oder, schlimmer, der Sprung auf empfindliche Vermögenswerte der Organisation.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...