Нов инструмент с отворен код сканира публичните AWS S3 за тайни

Нов скенер с отворен код „S3crets Scanner“ позволява на изследователи и червени екипи да търсят „тайни“, погрешно съхранявани в публично изложени или фирмени контейнери за съхранение на Amazon AWS S3.

Amazon S3 (Simple Storage Service) е услуга за съхранение в облака, която обикновено се използва от компаниите за съхранение на софтуер, услуги и данни в контейнери.

За съжаление понякога компаниите не успяват да защитят правилно своите  S3 и по този начин публично излагат съхраняваните данни в интернет.

В миналото този тип неправилна конфигурация е ставала причина за нарушения на сигурността на данните, като хакерите  са получавали достъп до данни за служители или клиенти, резервни копия и други видове данни.

В допълнение към данните за приложенията, изходният код или конфигурационните файлове в контейнерите на S3 могат да съдържат и „тайни“, които са ключове за удостоверяване, токени за достъп и API ключове.

Ако тези тайни бъдат разкрити по неправилен начин и станат достояние на хакери, те могат да им позволят много по-голям достъп до други услуги или дори до корпоративната мрежа на компанията.

Сканиране на S3 за тайни

По време на упражнение за проучване на неотдавнашното разкриване на активи на SEGA изследователят по сигурността Ейлон Харел открива, че не съществуват инструменти за сканиране на случайни изтичания на данни, затова решава да създаде свой собствен автоматичен скенер и да го пусне като инструмент с отворен код в GitHub.

За да помогне за навременното откриване на разкрити тайни в публични  S3, Харел създава инструмент на Python, наречен „S3crets Scanner“, който автоматично извършва следните действия:

  • Използване на  CSPM, за получаване на  списък на публичните контейнери
  • Изготвяне на списък със съдържанието чрез заявки към API
  • Проверка за разкрити текстови файлове
  • Изтегляне на съответните текстови файлове
  • Сканиране на съдържанието за тайни
  • Препращане на резултатите към SIEM

Инструментът за сканиране ще включи в списъка само контейнери S3, за които следните конфигурации са настроени на „False“, което означава, че експозицията вероятно е случайна:

  • „BlockPublicAcls“
  • „BlockPublicPolicy“
  • „IgnorePublicAcls“
  • „RestrictPublicBuckets“

Всички контейнери, които са били предназначени за публични, се филтрират от списъка, преди да бъдат изтеглени текстовите файлове за стъпката „сканиране на тайни“.

При сканирането на скриптът ще провери съдържанието на текстовите файлове с помощта на инструмента Trufflehog3 – подобрена версия на скенера за тайни, базирана на Go, която може да проверява за пълномощия и частни ключове в GitHub, GitLab, файлови системи и  S3.

Trufflehog3 сканира файловете, изтеглени от S3crets, като използва набор от персонализирани правила, разработени от Харел, които са насочени към разкриване на лична информация (PII) и вътрешни токени за достъп.

Когато се използва периодично за сканиране на активите на дадена организация, изследователят смята, че „S3crets Scanner“ може да помогне на фирмите да сведат до минимум вероятността от изтичане на данни или пробив в мрежата в резултат на разкриване на тайни.

И накрая, инструментът може да се използва и за „бели“ действия, като например сканиране на публично достъпни контейнери и уведомяване на собствениците на разкрити тайни, преди лошите да ги открият.

 

Източник: По материали от Интернет

Подобни публикации

1 април 2023

Интернет ви наблюдава, може би и вашият шеф?

Всеки ден се създават повече от 2,3 милиарда гигабайта интернет дан...
31 март 2023

Десет стъпки, които ще гарантират киберсигурнос...

  В неотдавнашно проучване на Panda Security в сътрудничество ...
30 март 2023

Интервю с изкуствен интелект

Не остана уважаваща себе си медия, която не е взела интервю от АI п...
30 март 2023

Exchange Online започна блокиране на имейли от ...

Microsoft въвежда нова функция за сигурност на Exchange Online, коя...
30 март 2023

Как да изберете антивирусен софтуер за вашия ма...

Работили сте усилено, за да стартирате бизнеса си. Последното нещо,...
30 март 2023

30 години уязвимости

Тенденциите в киберпрестъпността винаги се променят. През 30-те год...
29 март 2023

Термини за AI, които трябва да знаете

Объркани сте от изкуствения интелект? Не сте сами. Това кратко ръко...
29 март 2023

Севернокорейска група финансира шпионски опера...

Нов кибероператор на КНДР е отговорен за поредица от кампании, орга...
29 март 2023

BitWarden съобщава за уязвимост

Bitwarden е една от многото услуги за управление на пароли, наред с...
Бъдете социални
Още по темата
30/03/2023

Как да изберете антивирусен...

Работили сте усилено, за да стартирате...
28/03/2023

Акт за оперативната устойчи...

Актът за оперативната устойчивост на цифровите...
24/03/2023

CISA откри хакерска дейност...

Агенцията за кибер и инфраструктурна сигурност...
Последно добавени
01/04/2023

Интернет ви наблюдава, може...

Всеки ден се създават повече от...
31/03/2023

Десет стъпки, които ще гара...

  В неотдавнашно проучване на Panda...
30/03/2023

Интервю с изкуствен интелект

Не остана уважаваща себе си медия,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!