Secu
Sécurité cloud : attention aux administrateurs fantômes
Par Jacques Cheminat, publié le 20 avril 2018
Selon des chercheurs, le cloud ouvre la voie au développement de shadow administrateur. Un risque à ne pas prendre à la légère.
Pour accéder au réseau local de l’entreprise, le vol d’identifiant était le meilleur moyen pour s’octroyer des élévations de privilège et accéder ainsi à des données sensibles. A l’occasion de la conférence RSA à San Francisco, deux chercheurs de CyberArk, Asaf Hecht et Lavi Lazarovitz, ont montré que cette technique de piratage a trouvé un terrain de jeu intéressant : le cloud.
Ils ont présenté une douzaine de PoC démontrant que des attaquants peuvent discrètement abuser des plateformes cloud pour obtenir des élévations de privilèges et accéder à des données sensibles. « Ce que nous appelons les shadow administrateurs du cloud peuvent compromettre la sécurité de l’infrastructure cloud et permettre à des acteurs malveillants à s’immiscer discrètement », explique Lavi Lavoritz. Ce vecteur présent sur le on premise trouve donc sa continuité dans le cloud.
« Quand les entreprises migrent toute ou partie de leur infrastructure vers le cloud, de nouveaux utilisateurs sont créés ou fédérés et se voient attribuer des autorisations spécifiques pour effectuer des tâches spécifiques », poursuit le chercheur de CyberArk. C’est à ce moment que des utilisateurs peuvent se voir accorder trop de privilèges et devenir un shadow administrateur dans le cloud.
Une simple permission suffit
Ces super-utilisateurs peuvent lancer des instances, se connecter aux machines et leur assigner des permissions. A travers ces autorisations, ils sont capables d’éteindre des instances, d’exfiltrer des données ou injecter du code pour miner de la crypto-monnaie. Une menace très difficile à détecter au sein de milliers de machines avec chacune des combinaisons d’autorisations.
Dans leur démonstration, les chercheurs ont montré par exemple comment un shadow administrateur cloud clôt de manière intempestive des instances EC2 d’Amazon d’entreprises ciblées. Le scénario débute par la prise de contrôle du PC d’un utilisateur DevOps disposant de privilèges limités, en tout cas pas suffisants pour arrêter une instance EC2. Une fois compromis l’attaquant va faire une recherche des profils sur les instances EC2 en ciblant ceux disposant d’un rôle d’administrateur. Une fois trouvée, l’attaquant se sert des privilèges DevOps pour créer des pairs de clés EC2, utilisées pour se connecter à toutes les instances EC2 d’un réseau. Via cet accès, il crée une nouvelle instance EC2, puis avec l’appui d’un outil Open Souce (Putty), il en gagne l’accès complet en récupérant dans les métadonnées, les informations d’identification d’un admin. Une fois ces sésames en poche, il accès à la totalité des instances.
Selon Lavi Lavarovitz, « ce qui est effrayant, c’est que l’on a découvert 10 autres façons de procéder. A chaque fois, il suffisait d’une simple permission pour élever nos privilèges et obtenir des droits administrateurs complets ».