6 phần trăm bucket Google Cloud bị lộ lọt do cấu hình sai

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2112, 23/09/20, 02:09 PM.

  1. WhiteHat News #ID:2112

    WhiteHat News #ID:2112 WhiteHat Support

    Tham gia: 16/06/15, 03:06 PM
    Bài viết: 541
    Đã được thích: 77
    Điểm thành tích:
    48
    Sáu phần trăm bucket Google Cloud có cấu hình sai hiện đang được công khai trên mạng, cho phép bất kỳ ai cũng có thể truy cập nội dung.

    Trong một cuộc khảo sát trên 2.064 bucket Google Cloud (đơn vị lưu trữ lớn nhất chứa các Object trong Google Cloud Storage), công ty Comparitech phát hiện có 131 bucket có thể bị truy cập trái phép bởi người dùng có quyền liệt kê, tải xuống và/hoặc tải lên tệp tin. Trong số dữ liệu bị lộ lọt, có 6.000 tài liệu gồm hộ chiếu, giấy khai sinh và hồ sơ cá nhân của trẻ em ở Ấn Độ. Một cơ sở dữ liệu khác thuộc về một nhà phát triển web người Nga, gồm thông tin đăng nhập máy chủ email và nhật ký trò chuyện của nhà phát triển.

    Google Bucket.jpg

    Những bucket này có thể chứa các tệp bí mật, cơ sở dữ liệu, mã nguồn và thông tin đăng nhập, cùng những thứ khác”, nhà nghiên cứu Paul Bischoff tại công ty này cho biết.

    Theo nhà nghiên cứu, việc phát hiện ra các cơ sở dữ liệu đám mây bị lộ là vấn đề nhỏ. Trong trường hợp của Google, có những nguyên tắc đặt tên giúp bạn dễ dàng tìm thấy chúng. Ví dụ: tên cơ sở dữ liệu Google Cloud phải có từ 3 đến 63 ký tự và chỉ chứa các chữ cái thường, số, dấu gạch ngang, dấu gạch dưới và dấu chấm, không có dấu cách; và tên phải bắt đầu và kết thúc bằng một số hoặc chữ cái.

    Chúng tôi có thể quét web bằng một công cụ đặc biệt mà cả quản trị viên và tin tặc đều có thể sử dụng. Chúng tôi đã tìm kiếm tên miền từ 100 trang web hàng đầu của Alexa kết hợp với các từ phổ biến được sử dụng khi đặt tên bucket như ‘bak,’ ‘db,’ ‘database’ và ‘users’. Tiến hành lọc dựa trên đầu vào tìm kiếm và nguyên tắc đặt tên, chúng tôi có thể tìm thấy hơn 2.000 bucket trong khoảng 2,5 giờ. Phân tích có thể được cải thiện để bao gồm nhiều lĩnh vực hơn nữa”.

    Với danh sách các bucket trong tay, các nhà nghiên cứu sau đó tiến hành kiểm tra xem mỗi bucket có tồn tại lỗ hổng hay lỗi cấu hình sai hay không.

    Chúng tôi chỉ dừng lại ở đây nhưng tất nhiên kẻ tấn công có thể đi xa hơn nhiều. Ví dụ kẻ tấn công có thể tải xuống tất cả các tệp trong bucket bằng cách sử dụng công cụ dòng lệnh ‘gsutils’, một công cụ chính thức của Google để quản lý bucket”, Bischoff cảnh báo.

    Mặc dù phân tích chỉ bao gồm các bucketn Google Cloud nhưng vấn đề cấu hình sai vẫn mở rộng sang các nền tảng khác. Ví dụ các bucket S3 của Amazon là phương tiện phổ biến nhất để các ứng dụng, trang web và dịch vụ trực tuyến lưu trữ dữ liệu trên đám mây và cũng thường xuyên bị lộ lọt.

    Theo Threatpost
     
    Chỉnh sửa cuối: 23/09/20, 03:09 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan