È un gioco da ragazzi per un hacker utilizzare le credenziali inavvertitamente esposte per compromettere un server, rubare i dati in esso contenuti oppure abusarne le risorse per attività di mining o condurre attacchi verso terze parti. Il ricercatore Giovanni Collazo interrogando il popolare motore di ricerca Shodan è riuscito a trovare circa 2.300 server esposti online su cui gira il sistema etcd, un sistema di archiviazione distribuito usato per la condivisione di dati sensibili in cluster di macchine.
Com’è avvenuta la scoperta
Questo tipo di database viene solitamente utilizzato per archiviare e distribuire password e impostazioni di configurazione tra vari server e applicazioni.
Etcd implementa un’interfaccia di programmazione che può essere agevolmente interrogata e che per default restituisce le credenziali di accesso amministrative senza richiedere alcuna autenticazione.
Proprio sfruttando quest’interfaccia di programmazione, il ricercatore Collazo ha elaborato un semplice script che ha interrogato i 2,284 server etcd esposti online senza alcuna protezione e ha ottenuto in questo modo tutte le credenziali in essi memorizzate.
“Ho fatto una semplice ricerca su Shodan e ho trovato 2,284 server etcd aperti in Internet. Così ho cliccato su alcuni di essi ed al terzo tentativo ho constatato quello che speravo di non vedere. CREDENZIALI, un sacco di CREDENZIALI. Credenziali per cose come cms_admin, mysql_root, postgres , ecc.”, recita il post pubblicato da Collazo.
“Per cercare di comprendere il problema – continua Collazo -, ho scaricato l’elenco completo di risultati ottenuti da Shodan e ho scritto uno script molto semplice che in pratica invocando la API etcd richiede l’accesso a tutte le chiavi contenute negli archivi trovati. L’operazione equivale a fare un dump del database sfruttando la seguente richiesta: GET http://:2379/v2/keys/?recursive=trueche restituirà tutte le chiavi memorizzate sui server in formato JSON. ”
L’esperto ha interrotto lo script dopo aver raccolto circa 750 megabyte di dati da 1.485 indirizzi differenti.
Nella seguente tabella sono riportati i dati recuperati dai ricercatori:
Pensate a cosa potrebbe accedere se tali credenziali e chiavi finissero nelle mani di malintenzionati.
L’esperto ha confermato di non avere provato le credenziali, ma è molto probabile che molte di esse funzionino e potrebbero essere utilizzate per accedere una moltitudine di sistemi esposti in rete.
“Chiunque abbia a disposizione solo pochi minuti può riuscire a ottenere un elenco di centinaia di credenziali di database che possono essere utilizzate per rubare dati o eseguire attacchi basati su ransomware”, ha scritto Collazo.
Per mettere in sicurezza le installazioni di sistemi etcd è necessario abilitare l’autenticazione e metterli offline se non strettamente necessario che permangano sul Web.
Un’altra soluzione consiste nell’impostare una regola sul firewall per evitare che siano eseguite query non autorizzate sul server etcd.
