Некорректно настроенные серверы Amazon S3 могут использоваться для MitM-атак

Обнаружив такой сервер, хакеры могут перехватывать входящий трафик и заменить оригинальные файлы их вредоносными версиями.

Некорректно настроенные серверы Amazon S3 могут быть проэксплуатированы хакерами для осуществления скрытых атак «человек посередине» (Man in the Middle, MitM) и последующего перехвата трафика. Об этом сообщили
исследователи безопасности из компании Skyhigh Networks.

Техника, получившая название GhostWriter, заключается в том, что атакующий ищет в интернете некорректно настроенные серверы Amazon S3, владельцы которых не ограничили возможность записи. Обнаружив такой сервер, хакеры могут заменить оригинальные файлы их вредоносными версиями.

По словам исследователей, данная атака особо опасна для владельцев серверов, использующих JavaScript или любой другой код. Атакующие могут перезаписать код для осуществления атак drive-by, майнинга биткойнов, внедрения эксплоитов и пр. В качестве примера исследователи приводят ситуацию, когда атакующий, получив доступ к серверу новостного ресурса и модифицировав код рекламного объявления, может получить доход от него.

Техника GhostWriter представляет опасность как для клиентов, так и для сотрудников компаний, пользующихся услугами облачных хранилищ. С помощью данной техники злоумышленник может осуществить MitM-атаку и перехватить входящий трафик, а также взломать внутреннюю сеть организации и похитить конфиденциальную информацию.

Согласно данным Skyhigh Networks, более 1,6 тыс. или 4% серверов Amazon S3 уязвимы к атакам GhostWriter. Ранее исследователи сообщили, что 7% серверов Amazon S3 доступны в интернете и позволяют просматривать их содержимое.

На минувшей неделе из-за некорректно настроенного сервера Amazon S3 персональные данные почти 50 тыс. сотрудников австралийских государственных учреждений, банков и коммунальных предприятий оказались в открытом доступе в интернете.

Некорректно настроенные серверы Amazon S3 могут использоваться для MitM-атак
Подписывайтесь на канал «SecurityLab» в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.