image

17.000 websites besmet via verkeerd ingestelde S3-buckets

donderdag 11 juli 2019, 15:05 door Redactie, 26 reacties

Criminelen hebben via verkeerd ingestelde Amazon S3-buckets op 17.000 websites kwaadaardige code weten te plaatsen die creditcardgegevens en andere persoonlijke data van bezoekers steelt. Amazon Simple Storage Service (S3) is een cloudopslagdienst die door tal van organisaties wordt gebruikt.

Standaard zijn de gegevens in S3-buckets niet zomaar toegankelijk, maar het is mogelijk om een S3-bucket zo te configureren dat iedereen vanaf het internet er toegang toe heeft. Alleen het kennen van de url van de S3-bucket is voldoende. Criminelen zoeken actief naar toegankelijke S3-buckets waarvan iedereen de bestanden kan bekijken en wijzigen. Specifiek wordt er naar JavaScript-bestanden gezocht, zo stelt securitybedrijf RiskIQ.

De aanvallers downloaden deze bestanden en voorzien die van kwaadaardige code die invoer van klanten onderschept. Vervolgens worden de aangepaste JavaScript-bestanden weer terug in de S3-bucket geplaatst. De code in de S3-bucket wordt weer geladen door de website. De aangepaste JavaScript-code zorgt er echter voor dat invoer op betaalpagina's van webwinkels en andere websites wordt onderschept en naar de aanvallers gestuurd.

Door het aanpassen van de code in de S3-buckets draait er op meer dan 17.000 domeinen kwaadaardige JavaScript-code. Veel van deze gecompromitteerde websites beschikken niet over een betaalpagina. "Het gemak waarmee de sites via publieke S3-buckets zijn te compromitteren houdt in dat als slechts een klein deel van de injecties betaalgegevens oplevert, het de investering waard is", zegt onderzoeker Yonathan Klijnsma van RiskIQ. Webmasters en beheerders krijgen dan ook het advies om ervoor te zorgen dat hun S3-buckets niet voor iedereen toegankelijk zijn.

Reacties (26)
11-07-2019, 15:15 door Anoniem
Ze lopen nog steeds achter de feiten aan.

Online organisaties - winkels en bedrijven - cloud-diensten en de bijbehorende websites die door hun zelf
of door andere web-beheerders worden beheerd of onderhouden.

Werk aan de winkel zou ik zeggen !

Burgers worden namelijk verplicht om
een digitaal leven te leiden,wat grotendeels nu over het internet gaat.

Websites die door velen worden bezocht,vul maar in je persoonlijke gegevens
en oh wat jammer,ze zijn nu in handen van criminelen.
11-07-2019, 15:21 door Anoniem
Harry, die S3 bucket, wanneer is die klaar? Donderdag! -nee, dinsdag moet het klaar zijn!

<download een uitrolscriptje van een website, klikkerdeklik, KLAAR!>

Als je leverancier snel en goedkoop is, wart verwacht je dan van de kwaliteit?
11-07-2019, 15:28 door Anoniem
17.000?!!!
Hoe kunnen zoveel mensen zo afgrijselijk zitten te emmeren.
11-07-2019, 16:06 door Anoniem
Een van de grote gevaren in de IT is nog altijd de wijdverbreide middelmaat (of in het ergste geval pure onkunde en onwetendheid) van technici, beheerders, programmeurs, IT managers etc. Ieder bedrijf heeft het over hun technische revolutie, meegaan met cloud, IoT, AI, machine learning, big data en weet ik veel wat, maar de mensen met kennis lijken zo dun bezaaid dat het ene na het andere prutswerk op security gebied wordt afgeleverd. Een beetje aanrommelen in de interface, klikkerdeklik, her en der wat best practices volgen en we zijn klaar! Er loopt zoveel technisch middelmatig volk rond, dat de stroom aan berichten met dezelfde strekking als het bovenstaand bericht nooit op zal houden. Het blijft dweilen met de kraan open. Ik ben tot mijn pensioen verzekerd van werk, zoveel is zeker.
11-07-2019, 16:07 door Anoniem
Cloud is leuk, cloud is fijn. Nooit zal uw data meer veilig zijn.
11-07-2019, 18:40 door Anoniem
Volgens mij heb ik ooit gelezen dat de default bij S3-buckets was dat er juist 'alles open staat'. Misschien laat mijn geheugen mij in de steek, of is de default gewijzigd in de loop der tijd.
11-07-2019, 19:32 door karma4
Door Anoniem:...Er loopt zoveel technisch middelmatig volk rond, dat de stroom aan berichten met dezelfde strekking als het bovenstaand bericht nooit op zal houden. Het blijft dweilen met de kraan open. Ik ben tot mijn pensioen verzekerd van werk, zoveel is zeker.
Er is nog genoeg te doen zonder al dat dweilen. Overigens met je constatering heb je gelijk.
12-07-2019, 08:00 door [Account Verwijderd] - Bijgewerkt: 12-07-2019, 08:14
Door Anoniem: Een van de grote gevaren in de IT is nog altijd de wijdverbreide middelmaat (of in het ergste geval pure onkunde en onwetendheid) van technici, beheerders, programmeurs, IT managers etc.

Het is grappig (... not) dat het vaak de grootste schertsfiguren zijn die met een grote mond en blitse verhalen vol jargon voor de meeste ellende zorgen. Hoe kan je je als opdracht- of werkgever wapenen tegen dit soort mensen? Een eerste signaal dat er iets niet klopt is vaak het gebrekkige Nederlands van dergelijke lieden. Ik heb het niet over mensen voor wie Nederlands niet hun moedertaal is. Nee, het gaat over mensen die niet eens in staat zijn gebleken om hun moedertaal onder de knie te krijgen. En pas verder op voor de 'papieren tijger'. Dit soort mensen verstoppen zich graag achter veel papierwerk en ontwijken, met veel gedraai en mistige uitspraken, alle pogingen om erachter te komen wat ze nou precies bedoelen. Ze zijn mijlenver van de werkelijkheid verwijderd, je ziet ze vaak in management en consultancy posities en uiteindelijk blijken ze alleen maar heel veel geld te hebben gekost.
12-07-2019, 10:08 door karma4
Door En Rattshaverist:Het is grappig (... not) dat het vaak de grootste schertsfiguren zijn die met een grote mond en blitse verhalen vol jargon voor de meeste ellende zorgen. Hoe kan je je als opdracht- of werkgever wapenen tegen dit soort mensen? ....
Belangrijk kenmerk: gedrag als een evangelist.

Autisten zijn veel meer gericht op het wel goed te doen ondanks alle ondergravingen.
Je vind de echte klokkenluiders in die groep.
12-07-2019, 12:07 door Anoniem
Door karma4:
Belangrijk kenmerk: gedrag als een evangelist.
Nosce Te Ipsum
12-07-2019, 12:58 door Anoniem
@karma4,

Hier staat toch duidelijk beschreven welke maatregelen men kan nemen
om het "de sleutel ligt onder de bloempot rechts van het vliegenkastje"
verhaal ietwat ingewikkelder te maken,

Zie: https://www.riskiq.com/blog/labs/magecart-amazon-s3-buckets/

Want gewapend met de info uit de url hierboven, is deze query natuurlijk peanuts -
29 zoekresultaten, te weten :
https://publicwww.com/websites/cdn-imgcloud.com/
met een sign-up & upgrade zie je nog meer.

Geen wonder vind ik het dan dat urlquery dot net al weken onder vuur ligt
en dan ook niet meer werkt.

Net als destijds bij CleanMX, die als publieke dienst niet te handhaven bleek,
nu kan je alleen nog met een persoonlijk account inloggen om de slechterikjes te zien.

Vreselijke toestand eigenlijk, als je er als malware fighter goed over nadenkt,
Waar zijn de "untouchables"dezer dagen?

Of zijn de cybercriminelen tegenwoordig grotendeels al onaantastbaar?
Dat vraagt toch wel om een handhavingsinspanning,
als het "oorlog" op het Internet is.

Maar neen, als er maar goed verdiend wordt, gebeurt er niet al te veel.

luntrus
12-07-2019, 13:36 door Anoniem
Door Anoniem: Cloud is leuk, cloud is fijn. Nooit zal uw data meer veilig zijn.
Exact het zelfde kan on-prem gebeuren.

Door Anoniem: Volgens mij heb ik ooit gelezen dat de default bij S3-buckets was dat er juist 'alles open staat'. Misschien laat mijn geheugen mij in de steek, of is de default gewijzigd in de loop der tijd.
Staat standaard ook dicht: https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-policy.html
12-07-2019, 13:39 door Anoniem
Door En Rattshaverist:
Door Anoniem: Een van de grote gevaren in de IT is nog altijd de wijdverbreide middelmaat (of in het ergste geval pure onkunde en onwetendheid) van technici, beheerders, programmeurs, IT managers etc.

Het is grappig (... not) dat het vaak de grootste schertsfiguren zijn die met een grote mond en blitse verhalen vol jargon voor de meeste ellende zorgen. Hoe kan je je als opdracht- of werkgever wapenen tegen dit soort mensen? Een eerste signaal dat er iets niet klopt is vaak het gebrekkige Nederlands van dergelijke lieden. Ik heb het niet over mensen voor wie Nederlands niet hun moedertaal is. Nee, het gaat over mensen die niet eens in staat zijn gebleken om hun moedertaal onder de knie te krijgen. En pas verder op voor de 'papieren tijger'. Dit soort mensen verstoppen zich graag achter veel papierwerk en ontwijken, met veel gedraai en mistige uitspraken, alle pogingen om erachter te komen wat ze nou precies bedoelen. Ze zijn mijlenver van de werkelijkheid verwijderd, je ziet ze vaak in management en consultancy posities en uiteindelijk blijken ze alleen maar heel veel geld te hebben gekost.
Tja... De beste kapiteins staan altijd aan wal.


De kapiteins staan mijlenver van de werkelijkheid verwijderd, hebben geen idee waarover men werkelijk praten, of wat een bedrijf werkelijk nodig heeft.

Je ziet ze helaas veel te vaak, evangelist en preken horen daar juist ook vaak bij.
12-07-2019, 15:33 door ph-cofi
De falers op kleine schaal zijn de beheerders van de buckets die ze bewust van de standaard beveiliging afhalen. De faal op grote schaal is Amazon, die op basis daarvan best wel bucketinspectie zou kunnen doen. Samen op met de andere cloud providers om de belangen in balans te houden.
12-07-2019, 17:27 door Anoniem
Juist. Veiligheid of onveiligheid is afhankelijk van de prijs.
Weinig veiligheid op de goedkopere oplossing bij A dot org of B-CDN.
Voor ongeveer 12 keer meer krijg je IDF-grade beveiliging,
maar dan heb je ook wat.

Kwestie van wat wil je er aan uitgeven en hoe belangrijk is het voor je dat je data jouw data blijven.
Denken "het zal wel" helpt in ieder geval niet.

Jodocus Oyevaer
12-07-2019, 19:37 door [Account Verwijderd]
Door Anoniem:
Door En Rattshaverist:
Door Anoniem: Een van de grote gevaren in de IT is nog altijd de wijdverbreide middelmaat (of in het ergste geval pure onkunde en onwetendheid) van technici, beheerders, programmeurs, IT managers etc.

Het is grappig (... not) dat het vaak de grootste schertsfiguren zijn die met een grote mond en blitse verhalen vol jargon voor de meeste ellende zorgen. Hoe kan je je als opdracht- of werkgever wapenen tegen dit soort mensen? Een eerste signaal dat er iets niet klopt is vaak het gebrekkige Nederlands van dergelijke lieden. Ik heb het niet over mensen voor wie Nederlands niet hun moedertaal is. Nee, het gaat over mensen die niet eens in staat zijn gebleken om hun moedertaal onder de knie te krijgen. En pas verder op voor de 'papieren tijger'. Dit soort mensen verstoppen zich graag achter veel papierwerk en ontwijken, met veel gedraai en mistige uitspraken, alle pogingen om erachter te komen wat ze nou precies bedoelen. Ze zijn mijlenver van de werkelijkheid verwijderd, je ziet ze vaak in management en consultancy posities en uiteindelijk blijken ze alleen maar heel veel geld te hebben gekost.
Tja... De beste kapiteins staan altijd aan wal.


De kapiteins staan mijlenver van de werkelijkheid verwijderd, hebben geen idee waarover men werkelijk praten [sic!], of wat een bedrijf werkelijk nodig heeft.

Je ziet ze helaas veel te vaak, evangelist en preken horen daar juist ook vaak bij.

Kijk, dit is er eentje uit de categorie moedertaal nooit onder de knie gekregen.
13-07-2019, 11:07 door karma4
Door En Rattshaverist:
Tja... De beste kapiteins staan altijd aan wal.

De kapiteins staan mijlenver van de werkelijkheid verwijderd, hebben geen idee waarover men werkelijk praten [sic!], of wat een bedrijf werkelijk nodig heeft.
Je ziet ze helaas veel te vaak, evangelist en preken horen daar juist ook vaak bij.

Kijk, dit is er eentje uit de categorie moedertaal nooit onder de knie gekregen.[/quote]
Goh een anoniempje die een evangelist op de kast krijg.
Wedden dat eentje van die evangelisten er bij gaat halen dat ze allemaal mij zijn.
13-07-2019, 11:55 door karma4 - Bijgewerkt: 13-07-2019, 11:55
nog een aardige … de correlatie is magecart. Websites die gehackt worden. Lamp is niet bij voorbaat veilig.
https://securityaffairs.co/wordpress/88323/hacking/magecart-unprotected-s3-buckets.html
https://www.wired.com/story/british-airways-hack-details/
13-07-2019, 14:19 door Anoniem
@karma4,

En het nare is dat exploit code, die ik scan bij VT nog steeds niet herkend wordt,
terwijl ik het wel via knip en plak van het Internet kan halen.
De source code van de downloader PHP code was onzichtbaar gemaakt voor het blote oog.
Geen detectie.

Zie scan: https://www.virustotal.com/gui/file/f4c0d5c8749d0331b34a6f0effb973cbe87a732c23ba67ff9aa6f632bd68d58f/detection
13-07-2019, 14:31 door [Account Verwijderd] - Bijgewerkt: 13-07-2019, 14:34
Door karma4: nog een aardige … de correlatie is magecart. Websites die gehackt worden. Lamp is niet bij voorbaat veilig.
https://securityaffairs.co/wordpress/88323/hacking/magecart-unprotected-s3-buckets.html
https://www.wired.com/story/british-airways-hack-details/

Logisch redeneren blijft een moeilijk puntje voor jou nietwaar, karma4? Je probeert al spindoctorend verbanden te leggen die er met de beste wil ter wereld gewoon niet zijn. Ik heb een goeie voor jou: ... de correlatie is internet; hackers die hacken. Internet is niet bij voorbaat veilig. Computers ook niet.
13-07-2019, 23:22 door [Account Verwijderd]
Door karma4:
Door En Rattshaverist:Het is grappig (... not) dat het vaak de grootste schertsfiguren zijn die met een grote mond en blitse verhalen vol jargon voor de meeste ellende zorgen. Hoe kan je je als opdracht- of werkgever wapenen tegen dit soort mensen? ....
Belangrijk kenmerk: gedrag als een evangelist.

Tjeez karma4, wat ben jij een ongelofelijke evangelist als het om vermeend evangelisme gaat!
14-07-2019, 09:24 door [Account Verwijderd] - Bijgewerkt: 14-07-2019, 09:25
Door karma4: Wedden dat eentje van die evangelisten er bij gaat halen dat ze allemaal mij zijn.

You're So Vain ... Probably think this song is about you - Carly Simon https://youtu.be/mQZmCJUSC6g
14-07-2019, 10:01 door karma4
Door En Rattshaverist:
Logisch redeneren blijft een moeilijk puntje voor jou nietwaar, karma4? Je probeert al spindoctorend verbanden te leggen die er met de beste wil ter wereld gewoon niet zijn. Ik heb een goeie voor jou: ... de correlatie is internet; hackers die hacken. Internet is niet bij voorbaat veilig. Computers ook niet.
De causatie is Linux evangelisme en het bij voorbaat veilig verklaren omdat het OSS is. Iedereen kan het dan toch … oeps.
Daar heb je drie posts voor nodig? Het lijkt wel een reactie als van aangeschoten iets waar niets meer aan te doen valt.
Ik hoop maar dat die hoed van je verteerbaar is.
14-07-2019, 10:09 door karma4
Door Anoniem: @karma4,
En het nare is dat exploit code, die ik scan bij VT nog steeds niet herkend wordt, terwijl ik het wel via knip en plak van het Internet kan halen.De source code van de downloader PHP code was onzichtbaar gemaakt voor het blote oog...
Luntrus I assume,
Als ik het zo teruglees van magecart, dan richten ze zich niet op bekende kwetsbaarheden maar proberen heel slim in de legale afhandeling te komen.Lukt dat in de opbouw van de webpagina of in een stukje aanpasbare code (die buckets) dan kan alles er nog steeds perfect uit zien als legaal. Dat was wat bij die Prligi terug te lezen is.

Door Anoniem:
...
Kwestie van wat wil je er aan uitgeven en hoe belangrijk is het voor je dat je data jouw data blijven.
Denken "het zal wel" helpt in ieder geval niet.

Jodocus Oyevaer
Prima eens J.O.
14-07-2019, 11:42 door Anoniem
Waar gaat het om en waarom wordt het niet gedetecteerd.
Zoek op
//File Inclusion Exploit for STWC-Counter <= 3.4.0.0
//Found and Exploit Coded by burncycle - burncycle[(at)]robert-beran[(dot)]de
//|
//Vendor: http://www.stwc-counter.de/
//Dork: www.stwc-counter.de
//|
//Bug in "downloadcounter.php":

Al eens langs geweest en misbruikt in exploits in 2007 en in 2012 en nu dus nog een keer.

Waarom is dat nog niet van een pleister voorzien, waarom zet men Cyclone als veilige methode niet in
om deze kwetsbaarheden te kunnen "counteren".

Zoals hier ook steeds weer opgemerkt, is dit inherent aan op PHP gebaseerd CMS
en al bij ons bekend van ver voor 2012: https://www.exploit-db.com/exploits/18355

Met default passwords als bijvoorbeeld "packet" wordt het je als aanvaller wel helemaal makkelijk gemaakt.
Lees: PHP Security & Cracking Puzzles - Auteurs Maxim Kuznetsov, Igor Simdyanov

Bewijst voor mij eens te meer dat een goede zoeker soms gevaarlijker kan zijn dan een hacker.

luntrus
14-07-2019, 14:41 door [Account Verwijderd]
Door karma4:
Door En Rattshaverist:
Door karma4: nog een aardige … de correlatie is magecart. Websites die gehackt worden. Lamp is niet bij voorbaat veilig.
Logisch redeneren blijft een moeilijk puntje voor jou nietwaar, karma4? Je probeert al spindoctorend verbanden te leggen die er met de beste wil ter wereld gewoon niet zijn. Ik heb een goeie voor jou: ... de correlatie is internet; hackers die hacken. Internet is niet bij voorbaat veilig. Computers ook niet.

De causatie is Linux evangelisme en het bij voorbaat veilig verklaren omdat het OSS is. Iedereen kan het dan toch … oeps.

Eerst was het 'de correlatie is magecart' en nu is het weer 'evangelisme', 'voorbaat veilig verklaren' en 'iedereen kan het dan toch'. Je weet halverwege niet meer wat je eerder hebt geschreven en roeptoetert er dan maar weer wat neer?

Door karma4: Daar heb je drie posts voor nodig? Het lijkt wel een reactie als van aangeschoten iets waar niets meer aan te doen valt. Ik hoop maar dat die hoed van je verteerbaar is.

Het waren reacties op meerdere posts. De onzin blijft hetzelfde dus ik had het inderdaad in eentje kunnen beantwoorden. Over die hoed: je hebt nog steeds niet aangetoond dat je ooit professioneel werk hebt verricht. In tegendeel, met dit soort posts maak je dat alleen maar onaannemelijker.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.