17.000 siti violati per le falle di Amazon S3

Cyber Attack on S3-Amazon

Amazon cyber attack: una ricerca di poco fa rivela una nuova campagna di attacchi da parte del sindacato criminale Magecart.

I terribili gruppi di hacking denominati Magecart hanno sferrato una serie di attacchi che hanno compromesso i buckets (contenitori in cloud di condivisione file) di Amazon S3.

È quanto emerge da un rapporto pubblicato dalla società RiskIQ , Leader in Attack Surface Management, che ha monitorato la campagna di attacchi sin da aprile 2019.

Questi bucket di Amazon S3 sono insicuri perché mal configurati e consentono a chiunque disponga di un account Amazon Web Services di leggere o scrivere contenuti su di essi.

La strategia utilizzata dai cyber criminali, che hanno preso di mira i bucket, è quella di diffondere il loro script malevolo, modificando tutti i JavaScript che trovavano.

In pratica funziona così: i cyber criminali effettuano ricerche di buckets configurati in modo errato dove possono avere libero accesso. Una volta trovato un bucket di questo tipo lo sottopongono a scansione per cercare qualsiasi file JavaScript. Una volta trovato il file in questione lo modificano aggiungendogli in coda lo skimmer code: il loro codice malevolo.
Questa tecnica è possibile a causa delle configurazioni errate sui buckets S3, che garantisce l’autorizzazione di scrittura a chiunque.

L’approccio utilizzato negli attacchi di Magecart è denominato “spray and pray”. I risultati di questa tecnica non sono numericamente rilevanti tuttavia stando a quanto ha dichiarato Yonathan Klijnsma, Head Threat Researcher di RiskIQ, il ritorno dell’investimento per il gruppo Magecart non è stato basso.

Poiché gli skimmer utilizzati funzionano solo quando vengono posizionati nelle pagine di pagamento, gli attacchi dei pirati informatici avevano come target specifici siti di e-commerce.

La portata di questo attacco dimostra quanto sia facile per gli attori del cyber crimine compromettere una vasta quantità di siti web contemporaneamente con script memorizzati in bucket S3 mal configurati.

I ricercatori di RiskIQ sottolineano che senza una maggiore consapevolezza e uno sforzo maggiore per implementare i controlli di sicurezza necessari, ci saranno sempre più attacchi basati su simili tecniche.

In aggiunta alla gravità della minaccia Magecart, la violazione dei bucket S3 è stata messa in evidenza già con la prima sanzione post GDPR è comminata alla British Airways per la violazione del suo sito Web da parte di Magecart, che RiskIQ aveva già scoperto.

Secondo i dati di RiskIQ sono sati compromessi una vasta collezione di bucket S3 che ha impattato su ben oltre 17.000 domini. Questo elenco include anche i siti Web tra i primi 2.000 della classifica di Alexa.

 

Reference:

https://www.riskiq.com/press-release/riskiq-uncovers-magecart-campaign-breaches-websites-en-masse-via-spray-pray-method-involving-misconfigured-amazon-s3-buckets/

0 0 votes
Article Rating
Subscribe
Notificami
guest
0 Commenti
Oldest
Newest Most Voted
Inline Feedbacks
View all comments