image

'Publiek toegankelijke .env-bestanden gebruikt voor afpersen bedrijven'

vrijdag 16 augustus 2024, 12:32 door Redactie, 5 reacties
Laatst bijgewerkt: 19-08-2024, 09:05

Criminelen maken gebruik van publiek toegankelijke .env-bestanden om bedrijven af te persen, zo stelt securitybedrijf Palo Alto Networks. Env-bestanden worden gebruikt voor de opslag van configuratie-instellingen en omgevingsvariabelen. Het kan dan gaan om zaken als inloggegevens voor applicaties en access keys. Doordat organisaties hun servers verkeerd configureren zijn de .env-bestanden onbedoeld publiek toegankelijk.

Via de access keys die in de .env-bestanden zijn te vinden kunnen aanvallers vervolgens toegang krijgen tot de cloudomgevingen van de betreffende organisaties. De aanvallers zoeken dan naar S3-buckets van de organisatie. Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. De aanvallers stelen de data uit de S3-buckets en verwijderen daarna allerlei gegevens. Als laatste laten de aanvallers in de gecompromitteerde opslaglocatie een 'ransom note' achter. Daarin vragen de aanvallers losgeld, anders dreigen ze de gestolen data op internet te verkopen.

Naast credentials voor clouddiensten blijken de publieke .env-bestanden ook inloggegevens voor socialmedia-accounts en andere on-premises applicaties te bevatten. Volgens Palo Alto Networks hebben de criminelen achter de afpersingscampagne op 110.000 domeinen naar de aanwezigheid van .env-bestanden gezocht. "Het succes van de aanvallers hangt af van misconfiguraties bij de getroffen organisaties die onbedoeld hun .env-bestanden blootstellen. Het komt niet door kwetsbaarheden of misconfiguraties in de diensten van de cloudproviders", benadrukt het securitybedrijf.

Image

Reacties (5)
16-08-2024, 12:46 door Anoniem
Ik zou zeggen; ga niet op je knieën voor criminelen.
En als niemand dat doet, zowel bedrijven als particulieren, dan stopt die afpersing/chantage misschien wel een keer.
16-08-2024, 18:13 door Anoniem
@anoniem dan gaat men over op fraude, sextortion of wellicht zelfs fysieke zaken. B.v. de praktijken die de loodgieter onderging. Men zal niet opeens een echte baan gaan zoeken...
16-08-2024, 19:07 door Anoniem
Wachtwoorden in platte tekst-bestanden en in environment-variabelen. Zelfs zonder gaten in je besturingssysteem lijkt mij dat niet echt een goed idee. Bijna net zo erg als iemand die voor het gemak een briefje met wachtwoord op zijn monitor plakt.
17-08-2024, 13:48 door Anoniem
Geen .env gebruiken, maar zoiets als Azure key vault of Doppler gebruiken. Dan heb je dit niet nodig.
18-08-2024, 11:28 door Anoniem
Door Anoniem: Geen .env gebruiken, maar zoiets als Azure key vault of Doppler gebruiken. Dan heb je dit niet nodig.
En hoe weten je verschillende omgevingen bij welke Vault ze mogen aankloppen en de secret die nodig is om die vault te mogen benaderen? Je zal toch ergens je omgeving een secret moeten aanrijken.

De oplossing ligt hem in gedegen processen hebben om met het mechanisme via welk je secrets aanrijkt (of dit nu een .env of iets anders is) om te gaan. Niet gewoon "niet doen".
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.