Al momento stai visualizzando 17.000 siti violati per le falle di Amazon S3
17.000 siti violati per le falle di Amazon S3

17.000 siti violati per le falle di Amazon S3

Amazon cyber attack: una ricerca di poco fa rivela una nuova campagna di attacchi da parte del sindacato criminale Magecart.

I terribili gruppi di hacking denominati Magecart hanno sferrato una serie di attacchi che hanno compromesso i buckets (contenitori in cloud di condivisione file) di Amazon S3.

È quanto emerge da un rapporto pubblicato dalla società RiskIQ , Leader in Attack Surface Management, che ha monitorato la campagna di attacchi sin da aprile 2019.

Questi bucket di Amazon S3 sono insicuri perché mal configurati e consentono a chiunque disponga di un account Amazon Web Services di leggere o scrivere contenuti su di essi.

La strategia utilizzata dai cyber criminali, che hanno preso di mira i bucket, è quella di diffondere il loro script malevolo, modificando tutti i JavaScript che trovavano.

In pratica funziona così: i cyber criminali effettuano ricerche di buckets configurati in modo errato dove possono avere libero accesso. Una volta trovato un bucket di questo tipo lo sottopongono a scansione per cercare qualsiasi file JavaScript. Una volta trovato il file in questione lo modificano aggiungendogli in coda lo skimmer code: il loro codice malevolo.
Questa tecnica è possibile a causa delle configurazioni errate sui buckets S3, che garantisce l’autorizzazione di scrittura a chiunque.

L’approccio utilizzato negli attacchi di Magecart è denominato “spray and pray”. I risultati di questa tecnica non sono numericamente rilevanti tuttavia stando a quanto ha dichiarato Yonathan Klijnsma, Head Threat Researcher di RiskIQ, il ritorno dell’investimento per il gruppo Magecart non è stato basso.

Poiché gli skimmer utilizzati funzionano solo quando vengono posizionati nelle pagine di pagamento, gli attacchi dei pirati informatici avevano come target specifici siti di e-commerce.

La portata di questo attacco dimostra quanto sia facile per gli attori del cyber crimine compromettere una vasta quantità di siti web contemporaneamente con script memorizzati in bucket S3 mal configurati.

I ricercatori di RiskIQ sottolineano che senza una maggiore consapevolezza e uno sforzo maggiore per implementare i controlli di sicurezza necessari, ci saranno sempre più attacchi basati su simili tecniche.

In aggiunta alla gravità della minaccia Magecart, la violazione dei bucket S3 è stata messa in evidenza già con la prima sanzione post GDPR è comminata alla British Airways per la violazione del suo sito Web da parte di Magecart, che RiskIQ aveva già scoperto.

Secondo i dati di RiskIQ sono sati compromessi una vasta collezione di bucket S3 che ha impattato su ben oltre 17.000 domini. Questo elenco include anche i siti Web tra i primi 2.000 della classifica di Alexa.

 

Reference:

https://www.riskiq.com/press-release/riskiq-uncovers-magecart-campaign-breaches-websites-en-masse-via-spray-pray-method-involving-misconfigured-amazon-s3-buckets/

0 0 votes
Article Rating
Subscribe
Notificami
guest
0 Commenti
Inline Feedbacks
View all comments