Scoperto un Buco Nero nel Cloud: gli hacker criminali Entrano nelle Fortune 500

Alcuni attori malintenzionati stanno sfruttando applicazioni web vulnerabili, progettate per addestramento alla sicurezza o test di penetrazione interna, per accedere agli ambienti cloud di grandi aziende e vendor di sicurezza.

Queste app, come DVWA, OWASP Juice Shop, Hackazon e bWAPP, sono intenzionalmente vulnerabili, ma quando sono pubbliche e gestite da account cloud con privilegi elevati diventano una minaccia concreta.

Pentera, una società che automatizza i test di penetrazione, ha scoperto prove che questi vettori vengono già usati per compromettere sistemi, distribuire miner di criptovalute, impiantare webshell e muoversi verso risorse più sensibili.

Scoperta e numeri inquietanti

Gli analisti di Pentera hanno trovato 1.926 applicazioni vulnerabili esposte su internet e spesso collegate a ruoli di gestione accessi e identità troppo permissivi. Queste istanze sono state individuate su infrastrutture cloud come AWS, GCP e Azure.

Alcune delle app identificate appartenevano a società della classifica Fortune 500 che includono nomi come Cloudflare, F5 e Palo Alto Networks, tutte informate dei problemi e successivamente intervenute per correggerli.

Credenziali e privilegi: il cuore del problema

Molte di queste applicazioni esposte contenevano set di credenziali cloud esposte. In oltre la metà dei casi venivano utilizzate credenziali predefinite, agevolando la compromissione da parte degli attaccanti.

Gli accessi ottenuti potevano consentire ai cybercriminali di leggere e scrivere su storage come S3, GCS e Azure Blob, interagire con Secrets Manager, accedere ai registri dei container e ottenere permessi amministrativi completi.

Attacco in corso: non è teoria

Secondo il report condiviso da pentera, i rischi non sono ipotetici: gli aggressori hanno già sfruttato queste vulnerabilità nel mondo reale. Durante la verifica di diverse applicazioni vulnerabili, Pentera ha trovato evidenze di compromissioni, con shell stabilite sulle macchine e dati enumerati per identificarne i proprietari.

Ad esempio, su 616 istanze DVWA scoperte, circa il 20% presentava artefatti lasciati da attori malevoli. Il miner di criptovalute XMRig era in funzione su alcuni sistemi, estraendo Monero in background. Un altro meccanismo trovato era uno script di persistenza avanzato chiamato ‘watchdog.sh’, capace di ripristinarsi da un backup codificato in base64 e scaricare nuovamente XMRig da GitHub.

In altri casi è stato impiantato un webshell PHP (‘filemanager.php’) con credenziali di autenticazione integrate e funzioni complete di gestione file e comandi.

Come difendersi: le raccomandazioni degli esperti

Pentera invita le organizzazioni a mantenere un inventario dettagliato di tutte le risorse cloud, incluse le applicazioni di test, e isolarle dagli ambienti di produzione.

È consigliato applicare ruoli IAM con privilegi minimi, cambiare le credenziali predefinite e impostare una scadenza automatica per le risorse temporanee.

Marcello Filacchioni

ICT CISO e Cyber Security Manager con oltre vent’anni di esperienza tra settore pubblico e privato, ha guidato progetti di sicurezza informatica per realtà di primo piano. Specializzato in risk management, governance e trasformazione digitale, ha collaborato con vendor internazionali e startup innovative, contribuendo all’introduzione di soluzioni di cybersecurity avanzate. Possiede numerose certificazioni (CISM, CRISC, CISA, PMP, ITIL, CEH, Cisco, Microsoft, VMware) e svolge attività di docenza pro bono in ambito Cyber Security, unendo passione per l’innovazione tecnologica e impegno nella diffusione della cultura della sicurezza digitale.

Aree di competenza: Cyber Security Strategy & Governance, Vulnerability Management & Security Operations.