Opzettelijk kwetsbare trainingsapplicaties worden op grote schaal gebruikt voor beveiligingseducatie, interne tests en productdemonstraties. Tools zoals OWASP Juice Shop, DVWA, Hackazon en bWAPP zijn standaard ontworpen om onveilig te zijn, waardoor ze nuttig zijn om te leren hoe algemene aanvalstechnieken werken in gecontroleerde omgevingen.
Het probleem is niet de applicaties zelf, maar hoe ze vaak worden ingezet en onderhouden in echte cloudomgevingen.
Pentera Labs onderzocht hoe trainings- en demo-applicaties worden gebruikt in cloud-infrastructuren en identificeerde een terugkerend patroon: applicaties die bedoeld waren voor geïsoleerd laboratoriumgebruik werden vaak blootgesteld aan het openbare internet, draaiden binnen actieve cloud-accounts en waren verbonden met cloud-identiteiten met bredere toegang dan vereist.
Implementatiepatronen waargenomen in het onderzoek
Uit onderzoek van Pentera Labs bleek dat deze applicaties vaak werden ingezet met standaardconfiguraties, minimale isolatie en al te tolerante cloudrollen. Uit het onderzoek kwam naar voren dat veel van deze blootgestelde trainingsomgevingen rechtstreeks verbonden waren met actieve cloud-identiteiten en geprivilegieerde rollen, waardoor aanvallers veel verder konden gaan dan de kwetsbare applicaties zelf en mogelijk naar de bredere cloudinfrastructuur van de klant konden gaan.
In deze scenario’s kan een enkele blootgestelde trainingstoepassing als eerste steunpunt fungeren. Zodra aanvallers gebruik kunnen maken van verbonden cloud-identiteiten en geprivilegieerde rollen, zijn ze niet langer beperkt tot de oorspronkelijke applicatie of host. In plaats daarvan kunnen ze de mogelijkheid krijgen om te communiceren met andere bronnen binnen dezelfde cloudomgeving, waardoor de reikwijdte en potentiële impact van het compromis aanzienlijk wordt vergroot.
Als onderdeel van het onderzoek heeft Pentera Labs bijna geverifieerd 2.000 live, zichtbare trainingsapplicatie-exemplarenmet dichtbij 60% wordt gehost op een door de klant beheerde infrastructuur die draait op AWS, Azure of GCP.
Bewijs van actieve uitbuiting
De blootgestelde trainingsomgevingen die tijdens het onderzoek werden geïdentificeerd, waren niet simpelweg verkeerd geconfigureerd. Pentera Labs heeft duidelijk bewijs gevonden dat aanvallers actief misbruik maakten van deze blootstelling in het wild.
In de bredere dataset van blootgestelde trainingstoepassingen ongeveer In 20% van de gevallen werden artefacten aangetroffen die door kwaadwillende actoren waren ingezetinclusief cryptomining-activiteiten, webshells en persistentiemechanismen. Deze artefacten duidden op eerdere compromitteringen en voortdurend misbruik van blootgestelde systemen.
De aanwezigheid van actieve crypto-mining en persistentietools toont aan dat blootgestelde trainingsapplicaties niet alleen vindbaar zijn, maar ook al op grote schaal worden geëxploiteerd.
Reikwijdte van de impact
De tijdens het onderzoek geïdentificeerde blootgestelde en geëxploiteerde omgevingen waren niet beperkt tot kleine of geïsoleerde testsystemen. Pentera Labs observeerde dit implementatiepatroon in geassocieerde cloudomgevingen Fortune 500-organisaties en toonaangevende leveranciers van cyberbeveiliging, inclusief Palo Alto, F5 en Cloudflare.
Hoewel individuele omgevingen varieerden, bleef het onderliggende patroon consistent: een trainings- of demo-applicatie die zonder voldoende isolatie werd geïmplementeerd, publiekelijk toegankelijk bleef en verbonden was met geprivilegieerde cloudidentiteiten.
Waarom dit ertoe doet
Trainings- en demo-omgevingen worden vaak behandeld als tijdelijke of tijdelijke activa met een laag risico. Als gevolg hiervan worden ze vaak uitgesloten van standaard beveiligingsmonitoring, toegangsbeoordelingen en levenscyclusbeheerprocessen. Na verloop van tijd kunnen deze omgevingen blootgesteld blijven lang nadat hun oorspronkelijke doel is verstreken.
Uit het onderzoek blijkt dat exploitatie geen zero-day-kwetsbaarheden of geavanceerde aanvalstechnieken vereist. Standaardreferenties, bekende zwakke punten en publieke bekendheid waren voldoende om van trainingsapplicaties een toegangspunt te maken voor bredere cloudtoegang.
Het labelen van een omgeving als ‘training’ of ‘test’ vermindert het risico ervan niet. Wanneer ze worden blootgesteld aan internet en verbonden zijn met geprivilegieerde cloudidentiteiten, worden deze systemen onderdeel van het effectieve aanvalsoppervlak van de organisatie.
Raadpleeg het volledige Onderzoeksblog van Pentera Labs & neem deel aan een live webinar op 12 februari om meer te leren over de methodologie, het ontdekkingsproces en de real-world exploitatie die tijdens dit onderzoek is waargenomen.
Dit artikel is geschreven door Noam Yaffe, Senior Security Researcher bij Pentera Labs. Neem voor vragen of discussie contact op met [email protected]
