Des chercheurs de WatchTowr Labs ont découvert une faille de sécurité critique dans les buckets S3 abandonnés d'Amazon Web Services (AWS), qui pourrait permettre à des pirates de détourner la chaîne d'approvisionnement mondiale en logiciels. La recherche met en évidence la façon dont ces ressources de stockage cloud négligées pourraient faciliter les cyberattaques à grande échelle, éclipsant potentiellement la tristement célèbre brèche SolarWinds en termes de portée et d'impact.Pour rappel, le piratage de SolarWinds, qualifié par le président de Microsoft d'attaque la plus importante et la plus sophistiquée jamais réalisée, a montré comment des mises à jour logicielles compromises pouvaient infiltrer les réseaux des gouvernements et des entreprises. Lors de l'attaque de 2020, des pirates russes présumés ont intégré un code de porte dérobée dans Orion, un outil de surveillance de réseau très répandu, exposant potentiellement les données de 18 000 clients de la société, y compris des agences fédérales américaines.
Depuis, les menaces pesant sur le cloud ont augmenté, comme l'indique un rapport de JupiterOne pour 2023, faisant état d'une hausse de 589 % des vulnérabilités de sécurité du cloud, alors que le nombre d'actifs cybernétiques d'entreprise a augmenté de 133 % par rapport à l'année précédente. Tandis que les entreprises déplacent leurs opérations vers le cloud, les ressources délaissées, comme les buckets S3 abandonnés, introduisent de nouveaux risques.
En effet, au cours d'une enquête de deux mois, WatchTowr a identifié environ 150 buckets S3 abandonnés, précédemment utilisés par des gouvernements, des entreprises du Fortune 500, des sociétés de cybersécurité et des projets open-source majeurs.
Malgré leur abandon, ces buckets étaient toujours interrogés pour des mises à jour de logiciels, des binaires et d'autres ressources critiques. En réenregistrant ces buckets sous les mêmes noms pour seulement 420,85 dollars, les chercheurs ont démontré comment les attaquants pouvaient exploiter cet oubli pour distribuer des charges utiles malveillantes.
Les buckets AWS S3 abandonnés facilitent les cyberattaques
La vulnérabilité provient de la façon dont les noms des buckets AWS S3 sont globalement uniques. Une fois qu'un bucket est supprimé, son nom devient disponible pour être réutilisé.
Si une application ou un système continue de référencer un bucket abandonné pour des mises à jour ou des ressources, les attaquants peuvent en prendre le contrôle en le réenregistrant et en hébergeant du contenu malveillant.
WatchTowr a activé la journalisation sur les buckets réenregistrés au cours de leur expérience et a observé plus de huit millions de requêtes HTTP provenant de réseaux sensibles.
Il s'agissait notamment d'agences gouvernementales américaines telles que la NASA, d'organisations militaires, d'entreprises Fortune 100, d'institutions financières et d'universités du monde entier. Les ressources demandées allaient des binaires de logiciels non signés et des images de machines virtuelles aux fichiers JavaScript et aux modèles CloudFormation.
Les implications sont alarmantes
Un pirate pourrait utiliser les requêtes HTTP pour distribuer des mises à jour logicielles antidatées, déployer des ransomwares ou obtenir un accès non autorisé à des réseaux sensibles. En voici un exemple :
- Des binaires malveillants pourraient installer des outils d'accès à distance ou des ransomwares.
- Les modèles CloudFormation compromis pourraient permettre aux attaquants d'accéder aux environnements AWS.
- Des images de machines virtuelles sauvegardées pourraient infiltrer les systèmes de l'entreprise.
Les conclusions de WatchTowr soulignent la dépendance généralisée aux ressources hébergées dans le cloud dans les pipelines modernes de développement et de déploiement de logiciels. Les chercheurs ont noté que bon nombre de ces buckets abandonnés faisaient partie intégrante des infrastructures critiques, y compris des systèmes gouvernementaux et militaires.
« Une infrastructure cloud négligée laisse les réseaux sensibles vulnérables à un accès non autorisé », a déclaré WatchTowr dans son rapport. « Entre de mauvaises mains, cette vulnérabilité pourrait conduire à des attaques de la chaîne d'approvisionnement bien plus dévastatrices que tout ce que nous avons vu jusqu'à présent. »
Les attaques contre la chaîne d'approvisionnement inquiètent de plus en plus
Ces dernières années, les attaques visant la chaîne d'approvisionnement sont devenues une source de préoccupation croissante. Gartner prévoit que d'ici 2025, près de 45 % des organisations subiront de telles attaques, soit trois fois plus qu'en 2021. Ces incidents exploitent les maillons faibles des chaînes d'approvisionnement en logiciels pour distribuer des logiciels malveillants ou voler des données sensibles.
Parmi les exemples, on peut citer l'empoisonnement de packages open-source comme « bignum », où les attaquants ont détourné un bucket S3 abandonné pour servir des binaires malveillants. De telles vulnérabilités soulignent l'importance de sécuriser non seulement l'infrastructure active, mais aussi les ressources retirées ou abandonnées.
AWS a reconnu le problème, mais insiste sur le fait que ses services fonctionnent comme prévu. Bien qu'ils aient mis en œuvre des mesures telles que les conditions de propriété des buckets et encouragé les meilleures pratiques pour les conventions de nommage, WatchTowr affirme qu'AWS devrait empêcher complètement la réutilisation des noms de buckets précédemment enregistrés.
Des mesures d'atténuation proactives
Les organisations peuvent prendre des mesures proactives pour atténuer les risques. Elles peuvent notamment :
- Effectuer des audits réguliers des ressources cloud afin d'identifier et de mettre hors service les actifs inutilisés.
- Mettre en place des contrôles d'accès et une journalisation stricts pour tous les buckets actifs.
- Utiliser la vérification de la signature numérique pour les mises à jour logicielles afin d'en garantir l'authenticité.
- Sensibiliser les développeurs aux pratiques de codage sécurisé et à la gestion des dépendances.
Le rapport de WatchTowr rappelle les risques posés par les infrastructures numériques abandonnées dans un monde de plus en plus interconnecté. Alors que les organisations continuent de migrer leurs opérations vers le cloud, la vigilance est essentielle pour sécuriser non seulement les ressources actives, mais aussi celles qui sont laissées derrière.
La sécurisation des ressources cloud abandonnées n'est pas seulement une bonne pratique, c'est aussi une nécessité à une époque où les cybermenaces s'intensifient. Selon une analyse d'Orca Security révélant les cinq risques de sécurité du cloud les plus courants et les plus graves sont les fonctions AWS Lambda avec des privilèges excessifs, les informations sensibles dans les référentiels Git, les clés AWS sensibles non sécurisées, les services web non corrigés et les rôles IAM surprivilégiés.
Source : Étude de WatchTowr Labs
Et vous ?
Quel est votre avis sur le sujet ? Trouvez-vous les conclusions de cette étude de WatchTowr Labs crédibles ou pertinentes ?Voir aussi :
SolarWinds : Microsoft a préféré le profit à la sécurité et a laissé le gouvernement américain vulnérable à un piratage russe, selon un lanceur d'alerte qui affirme avoir découvert la faille en 2016 91 % des entreprises sont confrontées à des incidents dans la chaîne d'approvisionnement logicielle, d'après une étude de Data Theorem La panne de CrowdStrike incite les entreprises à revoir leurs chaînes d'approvisionnement, avec une perte de confiance dans les approches à fournisseur unique, seules 16 % d'entre elles se disent satisfaites