La chasse à l'IoT révèle le ciblage des infrastructures de construction

La chasse à l'IoT par nos propres chercheurs en menaces F5 Labs continue. Son dernier rapport révèle non seulement une recherche active d’appareils IoT vulnérables, mais également le ciblage des infrastructures de construction.

Dans le cadre de leur suivi des attaques sur les appareils IoT – principalement via l’accès Telnet et SSH – les chercheurs en menaces de F5 Labs ont peut-être découvert par inadvertance des tentatives de prise de contrôle de systèmes d’infrastructure de construction, notamment Jenkins et Vagrant. De plus, les systèmes de bases de données (Oracle, MySQL, PostGres et Hadoop) semblent être des cibles courantes, tout comme le fournisseur de surveillance Nagios.

Les informations d'identification utilisées lors des attaques par force brute sont visibles dans le « Top 50 des informations d'identification d'administrateur attaquées » dans lequel tous les systèmes susmentionnés apparaissent en évidence.

Il convient de noter que ces attaques se concentrent sur SSH et Telnet – accès à distance – via les utilisateurs du système d’exploitation créés systématiquement lors de l’installation de ces systèmes. La majorité sont déployés sur un système basé sur Linux et créent automatiquement un utilisateur au niveau du système neutralisé pour l'exécution, conformément aux meilleures pratiques. Par défaut, ces utilisateurs n'ont pas de mot de passe. Mais comme le note la documentation de Vagrant sur la création d'une boîte de base , ces utilisateurs reçoivent souvent des mots de passe et des privilèges de connexion.

Il est important de souligner que dans le dernier rapport de F5 Labs, les attaquants utilisent précisément cette combinaison pour tenter d’accéder au système, à savoir « vagrant:vagrant ». On remarque aussi que « deploy/deploy » figure parmi les cinquante identifiants les plus ciblés. Avec les identifiants clairement liés à l’infrastructure de build pour Jenkins et Vagrant, cela montre une prise de conscience croissante de la vulnérabilité de ces systèmes et de leur richesse en cibles potentielles. Obtenir l’accès à un système de build ou de déploiement offre aux attaquants de nombreuses opportunités, compte tenu de la nature distribuée de ces systèmes et de leur rôle. Contrôler un utilisateur Jenkins pourrait vous permettre d’accéder au code source, ouvrant ainsi de nombreuses possibilités d’injecter du code malveillant dans une application ou un système.

Construire des infrastructures devient de plus en plus vital pour les entreprises. En effet, 90 % des utilisateurs de Jenkins le considèrent comme essentiel à la mission. Mais ce n’est pas seulement Jenkins, ce sont les frameworks d’automatisation et l’infrastructure de construction en général.

Selon notre dernière enquête sur l’état de la distribution des application , un pourcentage significatif d’organisations utilisent l’automatisation, en général, pour appliquer des changements en production. Cela signifie invariablement que des systèmes comme Vagrant sont actifs dans des environnements de production, mais pas nécessairement isolés.

La prudence est de mise et une attention particulière doit être portée aux informations d’identification utilisées par l’infrastructure de build et les systèmes associés. Compte tenu de l’objectif de ces systèmes, il est doublement important de faire attention aux informations d’identification et de limiter (voire de refuser complètement) accès à distance avec des services de sécurité externes si nécessaire.

Alors que l’automatisation consomme de plus en plus d’espace dans l’environnement de production, il incombe aux chefs d’entreprise et aux professionnels de la sécurité d’être conscients de la menace posée par la compromission de tels systèmes . Comme l’ont découvert nos chercheurs en menaces, les attaquants sont déjà conscients de la richesse des cibles offertes par les systèmes de construction et d’automatisation et recherchent activement un accès.

Restez en sécurité là-bas.