Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Verlassene S3-Buckets werden zur Verbreitung von Malware genutzt
Obanla Opeyemi
Juli 4, 2023 - TuxCare-Expertenteam
Cybersecurity-Forscher von Checkmarx haben davor gewarnt, dass verlassene Amazon Simple Storage Service (S3) Buckets zur Verbreitung von Malware genutzt werden können.
Alles begann mit einem NPM-Paket namens "bignum", das bei der Installation Dateien aus einem Amazon AWS S3-Bucket herunterladen konnte. Leider luden diejenigen, die bignum installiert hatten, unwissentlich bösartige Dateien herunter, die für kritische Benutzer bestimmt waren. Selbst wenn der Bucket nicht zugänglich war, suchte das Programm lokal nach den Daten.
In einem Blogbeitrag beschrieb der Checkmarx-Forscher Guy Nachshon, wie Bedrohungsakteure die Kontrolle über verlassene S3-Buckets übernehmen und sie zur Verteilung bösartiger Binärdateien nutzen können. Nachshon erklärte, dass viele Open-Source-Softwarepakete auf S3-Buckets angewiesen sind, um Binärdateien zu verteilen. Wenn ein S3-Bucket aufgegeben wird, kann es immer noch als Verteilungspunkt für bösartige Binärdateien verwendet werden.
Wenn nämlich ein Open-Source-Softwarepaket versucht, eine Binärdatei von einem S3-Bucket herunterzuladen, wird es weiterhin versuchen, die Datei herunterzuladen, auch wenn der Bucket verlassen wurde. Wenn der Angreifer die Kontrolle über den verlassenen S3-Bucket übernommen hat, kann er die legitime Binärdatei durch eine bösartige Datei ersetzen. Dies bedeutet, dass Benutzer, die das Open-Source-Softwarepaket herunterladen, auch die bösartige Binärdatei herunterladen.
Nach Angaben von CheckMarx entstand das Problem, weil die Quelle des Dateipakets ein verlassener S3-Bucket war. Trotz der Tatsache, dass der Bucket schließlich zerstört wurde, nutzten bestehende Anwendungen ihn weiterhin zur Bereitstellung von Daten. Als der böswillige Akteur dies erkannte, erstellte er einen neuen S3-Bucket mit demselben Namen. Dazu ersetzte er das legitime Dateipaket durch ein bösartiges, das die Benutzerdaten abfing und an einen anderen Ort übertrug.
Die bösartige Binärdatei kann dann verwendet werden, um Benutzerdaten wie Anmeldedaten und Kreditkartennummern zu stehlen. Nachshon sagte, sein Team habe Dutzende von Open-Source-Softwarepaketen gefunden, die für diesen Angriff anfällig sind.
Er forderte Softwareentwickler auf, ihre Abhängigkeiten zu überprüfen und sicherzustellen, dass sie keine Open-Source-Softwarepakete verwenden, die für diesen Angriff anfällig sind. Außerdem forderte er die Anbieter von Cloud-Diensten auf, Maßnahmen zu ergreifen, um verlassene S3-Buckets zu sichern.
Zu den Quellen für diesen Beitrag gehört ein Artikel in HackRead.
