Forscher entdecken 34 Mio. Sicherheitslücken in führenden Clouds

34 Sicherheitslücken in AWS, Google Cloud und Azure aufgrund der Bereitstellung von Anwendungen in den Clouds

Palo Alto Networks Inc., ein neuer Bericht von Unit 42, der den Zeitraum von Januar 2018 bis Juni 2019 abdeckt, hat 34 Millionen Sicherheitslücken bei führenden Cloud-Dienstleistern entdeckt, darunter Google Computer, Elastic Computer Cloud von Amazon Web Services Inc. (über 29 Millionen) Engine (ca. 4 Millionen) und Azure Virtual Machine (1,7 Millionen) von Microsoft Corp.

Laut den Forschern waren die Schwachstellen nicht das Ergebnis der Cloud-Anbieter selbst, sondern der Anwendungen, die Kunden in der Cloud verwenden. Veraltete Apache-Server und anfällige jQuery-Pakete sind die Hauptgründe für die Sicherheitsanfälligkeiten.

Der Anbau von Containern ist auch einer der Gründe für die Sicherheitslücken. In der Standardkonfiguration hat Unit 42 mehr als 40.000 Container (23.000 Docker-Container und 20.000 Kubernet-Container) gefunden, die dem Internet ausgesetzt sind.

„Untersuchungen haben ergeben, dass mehr als 40.000 Containersysteme in Standardkonfigurationen betrieben werden. Dies entspricht fast 51% aller öffentlich exponierten Docker-Container. Viele der identifizierten Systeme ermöglichten einen nicht authentifizierten Zugriff auf die darin enthaltenen Daten. Palo Alto Networks empfiehlt, mindestens jeden Container mit sensiblen Daten hinter einer ordnungsgemäß konfigurierten Sicherheitsrichtlinie oder einer nach außen gerichteten Firewall zu platzieren, die den Zugriff über das Internet verhindert “, berichten Forscher von Palo Alto Networks.

Hacker sind sich der Situation bewusst. Wie aus dem Bericht hervorgeht, waren etwa 65% aller Cloud-bezogenen Vorfälle zwischen Februar 2018 und Juni 2019 auf Fehlkonfigurationen zurückzuführen. Was in Palo Alto Networks berichtet wird: –

„Unternehmen mit mindestens einem RDP-Dienst (Remote Desktop Protocol), der dem gesamten Internet ausgesetzt war, machten 56% aus, obwohl alle großen Cloud-Anbieter den Verbrauchern von Haus aus die Möglichkeit bieten, den eingehenden Datenverkehr einzuschränken.“

Das überraschende Ergebnis des Berichts war die weit verbreitete Erkennung möglicher Crypto-Mining-Malware. Wie aus dem Bericht hervorgeht, wurden 28% der mit Domänen kommunizierenden Organisationen von der chinesischen Cryptomining-Betriebsgruppe mit dem Namen „Rocke-Bedrohungsgruppe“ betrieben. Diese Gruppe unternimmt auch kriminelle Handlungen im Zusammenhang mit Hacking und Ransomware. Daher ist es nicht unbedingt erforderlich, dass es sich bei den 28% nur um Crypto-Mining-Viren handelt. Dies deutet jedoch auf ein weit verbreitetes Infektionsniveau hin.

“Sicherheitsteams müssen sicherstellen, dass die von AWS, GCP, Docker oder Kubernetes für die Bereitstellung von Produktionssystemen verwendete goldene Vorlage so konfiguriert ist, dass sie die neuesten Sicherheitspatches und -versionen verwendet, wie vom Anbieter der Anwendung angegeben”, heißt es abschließend. “Dies stellt sicher, dass Unternehmen ihre Sorgfalt bei der Aufrechterhaltung sicherer Umgebungen und der Verbesserung der Gesamtsicherheitshygiene ihrer Cloud-Infrastrukturen anwenden.”