Nu e nevoie de campanii de phishing ajutate de AI sau infostealers livrați prin inginerie socială creativă pentru a găsi credențiale de Active Directory, chei AWS și token-uri Github dacă ai un crawler rudimentar și ceva timp liber să parsezi linkuri “Recent Links” de pe platforme dedicate de formatare a codului.
Dacă simți că DevOps a învățat ceva din ultimii 5 ani de episoade supply chain și calamitate digitală, urmează o nouă dezamăgire.
Platforme precum JSONFormatter sau CodeBeautify nu sunt pe “dark web”, sunt primul rezultat Google pentru “JSON beautify”. Ele permit nu doar copierea și reformatarea codului, ci și salvarea acestuia, aparent temporară, și distribuirea printr-un link către oricine vrei tu.
Ce face orice admin grăbit? Folosește aceste platforme pentru a „înfrumuseța” scripturi ce conțin cod PowerShell, exporturi Jenkins, chei pentru Docker, token-uri pentru GitHub și tot ce nu vrei să vezi online ca și companie.
Însă orice salvare era vizibilă în secțiunea „Recent Links” care este publică și putea fi accesată fără nicio restricție. Partea gravă e că informația persista.
Când peste 80.000 de bucăți de JSON salvate public conțin diverse secrete ce-ți pot îngropa compania, sau cel puțin să o îngenuncheze, devine limpede că “Shared Responsibility Model” e o glumă bună de conferință dar zero la practică.
Bănci, guverne și „super nerds”: nimeni nu scapă
Printre victimele ale acestor tool-uri se numără organizații despre care te-ai aștepta să aibă procese, traininguri și destui “policy checkers”: din zona de infrastructură critică, guvern, bănci, MSSP-uri, vendori cu reputație și chiar companii de securitate cibernetică și tehnologie.
Experții de la compania de securitate watchTower au analizat informația și au găsit date KYC complete, exporturi de AWS Secrets Manager, credențiale Splunk SOAR la un exchange major sau onboarding MSSP cu credențiale pentru clientul vedetă – totul, la un click de share.
Printre upload-uri se aflau și parole hardcodate, info despre endpoint-uri interne, configurații IIS, totul fiind la liber.
În total, watchTowr a adunat peste 5GB de cod ce includea câteva mii de date sensibile.
Informația nu provenea de la un solo developer pe hobby-uri, ci de la organizații cu bugete de milioane: bănci, companii aerospace, telecomunicații, provider de servicii de securitate externalizate (MSSP), entități guvernamentale, și companii de securitate cibernetică.
Și lista de detalii sensibile cuprinde cam tot ce am enumerat mai sus plus fișiere de configurare, căi către chei și certificate, hostnames și IP-uri interne și externe, scripturi PowerShell de configurare, adrese de email, credențiale pentru Docker Hub și Grafana.
Reality check
watchTowr a încercat să avertizeze victimele dar unele nu au dat niciun semn iar altele au pus piedici precum impunerea unei notificări prin programul de raportare a vulnerabilităților.
Ca să confirme gravitatea problemei, echipa watchTowr a vrut să determine cât de repede “se fură” ce e pus public. Așa că au generat niște “canary tokens” de AWS și le-au pus pe cele două platforme.
Au fost nevoie de mai puțin de 48 de ore până la prima încercare de acces.
Un detaliu important este că folosirea token-urilor false a fost înregistrată după perioada de 24 de ore pe care experții o setaseră pentru expirarea linkului de partajare a conținutului, demonstrând persistența în spațiul public a materialului sensibil.
Și uite așa, cu un simplu copy/paste un atacator ar putea bate controale de acces, politici de hardening, și chiar să sară peste unii pași de reconnaissance și pivotare în rețea după obținerea accesului inițial.
