Terceirizada da Universal Music Group expõe credenciais na AWS

Terceirizada da Universal Music Group expõe credenciais na AWS. Os especialistas do Kromtech Security Center descobriram que o Agilisium, empresa prestadora de serviço em Cloud, expunha as credenciais internas de FTP do UMG, os detalhes da configuração do AWS (chave de acesso e senha), além dos detalhes do código fonte interno (senhas SQL) por meio de duas instâncias desprotegidas do Servidor Apache Airflow.

 

fonte: Kromtech

O “Apache Airflow” é um esforço de incubação na The Appache Software Foundation (ASF). Segundo o site do ASF o Airflow “é uma plataforma para criar, programar e monitorar programaticamente fluxos de trabalho“. Está escrito em Python  e por padrão, o Airflow está totalmente aberto ou, como indicam na primeira linha de sua documentação sobre segurança, “Por padrão, todos os portões são abertos”. Isso significa que você deve executar as etapas para proteger o servidor.

No caso da Agilisium, esses passos foram obviamente ignorados por quem configurou este servidor. Ao pular essas etapas, eles inadvertidamente expuseram tudo e contradiz o que a página da Agilisium afirma orgulhosamente: “O Agilisium atinge o status de Parceiro de Competência de Big Data da AWS. Mais um marco no nosso compromisso com o sucesso dos clientes”. É questionável está competência quando se encontra chaves secretas e senhas da AWS, credenciais de FTP internas e a senha de root do SQL como públicas em um ambiente, ainda mais um ambiente Cloud AWS, onde já temos tido diversas ocorrências de vazamento devido a mal configuração. Nos parece um erro básico de configuração, onde até mesmo o mais iniciante profissional de segurança tem conhecimento.

No site da Amazon AWS, cita explicitamente em um parágrafo destacado como importante que : “Não forneça suas chaves de acesso a terceiros, nem mesmo para ajudar a encontrar seu ID de usuário canônico. Ao fazer isso, você pode conceder a alguém acesso total à sua conta”.

Embora seja responsabilidade da empresa garantir que seus servidores estejam protegidos adequadamente, o software deve ser projetado a partir de uma perspectiva de segurança, especialmente nos dias de hoje com uso de sistemas de Cloud, onde as fronteiras de segurança são eliminadas, ao em muitos casos desconhecidas, exigindo novos “approaches” de proteção. a Kromtech ressalta que “Nos primórdios da Internet, era comum desenvolver a facilidade de uso sobre a segurança, mas descobrimos que, à medida que a Internet crescia, esse erro de segurança, em segundo lugar, tinha consequências duradouras e de longo alcance” e por todas as soluções e aplicativos tiveram que revisitar este tema e se ajustarem, assim “Não há desculpa para colocar a segurança em segundo lugar nos seus projetos de desenvolvimento hoje. Há muitos exemplos agora mostrando como essa abordagem falha”.

Problema de configuração do Cloud AWS da Amazon tem sido notícia constante aqui no Blog Minuto da Segurança, (veja nos links abaixo alguns deles) mas nos parece que as empresas não tem dado muita importância na verificação do que os terceiros estão fazendo, estes casos seriam facilmente evitados com planejamento de um bom processo de “Third Party Review” ou Revisão de Terceiros, onde os mesmos conceitos do Security Assessment interno poderia ser usado, incluindo o Penetration Test, para validar e monitorar as condições de segurança implementadas pelos terceiros nos serviços e plataformas contratadas.

Ocorrências de segurança no Amazon AWS:

 

Fonte: Kromtech

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Pesquisador afirma poder hacker um avião em voo a partir do solo
  2. Usando ataque smokescreen, hacker roubam US$10M do Banco do Chile

Deixe sua opinião!