物联网猎杀行动暴露出基础设施建设目标
我们自己的 F5 实验室威胁研究人员对物联网的搜寻仍在继续。 其最新报告不仅揭露了对易受攻击的物联网设备的积极搜索,还揭露了针对构建基础设施的目标。
在追踪针对 IoT 设备的攻击(主要通过 telnet 和 SSH 访问)的过程中,F5 实验室威胁研究人员可能无意中发现了接管 Jenkins 和 Vagrant 等基础设施系统的企图。 此外,数据库系统(Oracle、MySQL、PostGres 和 Hadoop)以及监控提供商 Nagios 似乎是常见的目标。
暴力攻击期间使用的凭证可以在“受攻击的前 50 个管理员凭证”中看到,其中所有上述系统都突出显示。
值得注意的是,这些攻击主要集中在 SSH 和 telnet(远程访问)上,通过操作系统用户在安装这些系统时经常创建的。 大多数都部署在基于 Linux 的系统上,并根据最佳实践自动创建一个被阉割的系统级用户来执行。 默认情况下,这些用户没有密码。 但是正如 Vagrant关于创建基础框的文档所述,这些用户通常会被赋予密码和登录权限。
该用户应使用 Vagrant 默认使用的不安全密钥对来尝试 SSH。 此外,尽管 Vagrant 默认使用基于密钥的身份验证,但将“vagrant”用户的密码设置为“vagrant”是一种普遍惯例。
值得注意的是,在F5实验室最新的报告中,试图访问系统的攻击者所使用的正是这种组合,即“vagrant:vagrant”。 同样有趣的是,“deploy/deploy”被列入前 50 个受攻击凭证之列。 加上 Jenkins 和 Vagrant 可识别的构建基础设施凭证,这表明人们越来越意识到此类系统的可访问性以及它们提供的目标丰富的环境。 鉴于这些系统的分布式特性及其用途,访问构建或部署系统将为攻击者提供大量机会。 成为 Jenkins 用户表面上可以访问源代码,这反过来又提供了在应用或系统内注入各种恶意代码的机会。
建设基础设施对于企业来说越来越重要。 也就是说,90% 的Jenkins 用户认为它对于任务至关重要。 但它不仅仅是詹金斯,它是自动化框架和构建基础设施。
根据我们最新的application交付状况调查,相当大比例的组织普遍使用自动化来推动生产变更。 这必然意味着像 Vagrant 这样的系统在生产环境中活跃,但不一定是孤立的。
必须谨慎,并仔细考虑构建基础设施和相关系统所使用的凭证。 考虑到这些系统的用途,更加重要的是要注意凭证并在必要时限制(如果不是完全拒绝)使用外部安全服务的远程访问。
随着自动化在生产环境中占据越来越重要的地位,企业领导者和安全专家有必要警惕此类系统受到破坏所带来的威胁。 正如我们的威胁研究人员所发现的那样,攻击者已经意识到构建和自动化系统提供的丰富目标,并正在积极寻求访问权限。
在外面要注意安全。