Support technique
Documentation
Connexion
Nous contacter
Des buckets S3 abandonnés utilisés pour diffuser des logiciels malveillants
Obanla Opeyemi
Le 4 juillet 2023 - L'équipe d'experts de TuxCare
Les chercheurs en cybersécurité de Checkmarx ont mis en garde contre l'utilisation de buckets Amazon Simple Storage Service (S3) abandonnés pour diffuser des logiciels malveillants.
Tout a commencé avec un paquetage NPM nommé "bignum" qui avait la capacité de télécharger des fichiers à partir d'un seau Amazon AWS S3 lors de son installation. Malheureusement, les utilisateurs de bignum ont téléchargé à leur insu des fichiers malveillants destinés à des utilisateurs critiques. Même si le panier était inaccessible, le programme recherchait les données localement.
Dans un billet de blog, Guy Nachshon, chercheur chez Checkmarx, décrit comment les acteurs de la menace peuvent prendre le contrôle de buckets S3 abandonnés et les utiliser pour distribuer des fichiers binaires malveillants. Guy Nachshon explique que de nombreux logiciels libres s'appuient sur les buckets S3 pour distribuer des fichiers binaires. Si un panier S3 est abandonné, il peut toujours être utilisé comme point de distribution de fichiers binaires malveillants.
En effet, lorsqu'un logiciel libre tente de télécharger un fichier binaire à partir d'un seau S3, il continue d'essayer de télécharger le fichier même si le seau a été abandonné. Si l'attaquant a pris le contrôle du seau S3 abandonné, il peut remplacer le fichier binaire légitime par un fichier malveillant. Cela signifie que les utilisateurs qui téléchargent le logiciel libre téléchargeront également le fichier binaire malveillant.
Selon CheckMarx, le problème est survenu parce que la source du paquet de fichiers était un seau S3 abandonné. Bien que ce dernier ait été définitivement détruit, les applications existantes ont continué à l'utiliser pour transmettre des données. Lorsque l'acteur malveillant s'en est rendu compte, il a créé un nouveau bac S3 portant le même nom. Pour ce faire, il a remplacé le paquet de fichiers légitime par un paquet malveillant qui recueillait les données des utilisateurs et les transférait ailleurs.
Le fichier binaire malveillant peut alors être utilisé pour voler les données de l'utilisateur, telles que les identifiants de connexion et les numéros de carte de crédit. M. Nachshon a indiqué que son équipe avait trouvé des dizaines de logiciels libres vulnérables à cette attaque.
Il a invité les développeurs de logiciels à vérifier leurs dépendances et à s'assurer qu'ils n'utilisent pas de logiciels libres vulnérables à cette attaque. Il a également exhorté les fournisseurs de services en nuage à prendre des mesures pour sécuriser les buckets S3 abandonnés.
Les sources de cet article comprennent un article de HackRead.
