از آنجا که دسترسی به داده های موجود در کلود از طریق اتصال به اینترنت امکان پذیر است و بستر اصلی برای دسترسی به کلود فضای وب است. بسیاری از مهاجمان در عرض 22 ثانیه پس از به خطر انداختن نمونه های ابری، بدافزارهای رمزنگاری را نصب می کنند.مجرمان آنلاین، ماینرهای ارزهای دیجیتال را تنها در 22 ثانیه پس از به خطر انداختن نمونههای ابری با پیکربندی نادرست در حال اجرا در Google Cloud Platform (GCP) مستقر میکنند.
سوء استفاده از آسیب پذیری های Cloud
استخراج ارزهای دیجیتال تا حد زیادی اصلیترین فعالیت مخربی است که مهاجمان پس از استفاده از نمونههای پیکربندی نادرست میزبانی شده در GCP انجام میدهند و 86 درصد از کل اقدامات انجام شده پس از به خطر افتادن را تشکیل میدهند.
و در بسیاری از موارد، مهاجمان پس از به خطر انداختن یک نمونه و نصب بدافزار cryptomining به سرعت عمل می کنند تا منابع CPU و GPU دیگران را آزاد کنند تا برای خود سود ببرند.
گزارش های گوگل درباره آسیب پذیری های ابری
گوگل در اولین گزارش Cloud Threat Intelligence خود میگوید: «تحلیل سیستمهای مورد استفاده برای استخراج غیرمجاز ارزهای دیجیتال، که در آن اطلاعات جدول زمانی در دسترس بود، نشان داد که در 58 درصد موارد، نرمافزار استخراج رمزارز در عرض 22 ثانیه پس از در معرض خطر قرار گرفتن در سیستم دانلود می شود.
روند قابل توجه دیگر این بود که مهاجمان با چه سرعتی موارد ناامن را پیدا می کنند و به خطر می اندازند. کوتاه ترین زمانی که صورت گرفت 30 دقیقه پس از به کارگیری آن نمونه ها بود. در 40 درصد موارد، زمان کمتر از هشت ساعت بود.
شرکت امنیتی Palo Alto Networks نیز به طور مشابه دریافت که 80 درصد از 320 نمونه «honeypot» که در فضای مجازی در فضای ابری میزبانی شدهاند و برای جذب مهاجمان طراحی شدهاند در عرض 24 ساعت در معرض خطر قرار گرفتهاند.
همانطور که گزارش گوگل نشان می دهد، بدافزار استخراج رمزنگاری برای کاربرانی که در GCP هستند و برای محافظت از نمونه های ابری خود اقداماتی انجام نمی دهند، مشکلی ایجاد می کند.
گوگل خاطرنشان می کند “در حالی که به نظر نمی رسد سرقت داده هدف این سازش ها باشد، اما همچنان یک خطر مرتبط با به خطر افتادن دارایی های ابری است زیرا مهاجمان شروع به انجام روش های مختلف سوء استفاده می کنند. نمونه های عمومی ابری که در اینترنت قرار دارند برای اسکن و حملات بی رحمانه باز بودند”.
نمونههای GCP که در اینترنت قرار دارند، هدف مهمی برای مهاجمان بودند. کمتر از نیمی از نمونههای به خطر افتاده توسط مهاجمانی است که به نمونههایی بدون رمز عبور یا رمز عبور ضعیف برای حسابهای کاربری یا اتصالات API دسترسی پیدا کردهاند، این به این معنی است که این نمونهها میتوانند به راحتی اسکن شوند .
گوگل گفت: “این نشان می دهد که فضای آدرس IP عمومی به طور معمول برای نمونه های آسیب پذیر ابری اسکن می شود. مهم نیست که یک نمونه Cloud آسیب پذیر شناسایی شود، بلکه مهم این است که چه زمانی شناسایی شود.”
علاوه بر این، 26 درصد از نمونه های در معرض خطر به دلیل آسیب پذیری های نرم افزار شخص ثالث است که توسط مالک استفاده می شود.
باب مکلر، مدیر دفتر Google Cloud در CISO، گفت: “بسیاری از حملات موفق به دلیل مراقبت ضعیف و عدم اجرای کنترل اولیه است.”
این گزارش ها خلاصه ای از مشاهدات سال گذشته توسط Google Threat Analysis Group ، Google Cloud Security and Trust Center، و Google Cloud Threat Intelligence برای مراقبت و کنترل از آسیب پذیری است.
نظرات در مورد : Google: نیمی از نمونههای ابری (cloud instances) در معرض خطر گذرواژه ضعیف یا بدون گذرواژه هستند