Cyberbedrohungen
Umgebungsvariablen als reale Bedrohungen im DevOps-Minenfeld
Bedrohungsakteure sind aktiv auf der Suche nach ungeschützten Umgebungsvariablen. Diese .env-Dateien sind zu tickenden Bomben geworden, denn sie enthalten Geheimnisse, die Angreifer für ihre bösartigen Aktivitäten ausnutzen können.
Save to Folio
Die Anwendungsentwicklung hat sich mit der zunehmenden Verwendung von Containern als wichtiger Bestandteil der DevOps-Methodik verändert. Die Entwickler haben sich daran gewöhnt, Anwendungen mit Umgebungsvariablen statt mit Konfigurationsdateien innerhalb des Anwendungsverzeichnisses zu konfigurieren, ein Vorteil, der flexiblere Bereitstellungen ermöglicht.
Diese Variablen werden so häufig genutzt, dass Entwickler häufig darüber versehentlich Geheimnisse weitergeben, ohne an die Folgen zu denken, und die zugrunde liegende Implementierung ganz vergessen oder, schlimmer noch, ignorieren. Jeder muss sich bewusst sein, dass Umgebungsvariablen an jeden untergeordneten Prozess vererbt werden. Wir haben in einer Untersuchung aufgezeigt, dass dies eine gefährliche Funktion ist, insbesondere innerhalb von verwalteten Cloud-Diensten, da die Informationen für raffiniertere Angriffe, einschließlich der Ausführung von Remote-Code, verwendet werden können.
Die Entwickler gehen noch einen Schritt weiter, denn sie fassen aus Bequemlichkeit diese Umgebungsvariablen in einer einzigen Datei, .env, zusammen, die harmlose Anwendungseinstellungen mit hochsensiblen Zugangs-Token von Cloud-Service-Anbietern (CSP) kombiniert und damit unbewusst zu den Ursprüngen zurückkehrt. Die .env-Dateien werden so häufig verwendet, dass die Nutzer deren Sensibilität vergessen und sie der Öffentlichkeit zugänglich gemacht haben.
Unsere Honeypot-Daten belegen, dass Bedrohungsakteure aktiv nach diesen offenen .env-Dateien suchen. Sie sind also eine tickende Bombe, die tief in den DevOps-Praktiken verwurzelt ist. Die Folgen solcher Exponierungen sind massive Datenschutzverletzungen (bestehend aus Hunderten von Terabytes an Daten), Angriffe auf die Lieferkette und Geldbußen.
Unser Forschungsbericht deckt die versteckten Gefahren in DevOps anhand von Beispielen aus der Praxis auf, darunter das beliebte Webanwendungs-Framework Laravel sowie moderne KI- und LLM-Anwendungen. Der Bericht konzentriert sich auf die Einführung und Verwendung von .env und unsere Entdeckung mehrerer bösartiger Payloads, die diese nicht beachteten Anmeldeinformationen abfangen und ausnutzen. Wir fanden mehr als 600.000 geheim zu haltende Daten, die in freier Wildbahn offengelegt wurden, einschließlich CSP-Zugangsschlüssel, die zu Kontoübernahmen führen könnten.
Die gesammelten Daten zeigen einen deutlichen Anstieg der .env-Dateianfragen, was auf ein wachsendes Interesse der Angreifer schließen lässt. Die Analyse der Honeypot-Daten ergab, dass die Angreifer verschiedene Techniken verwenden, um .env-Dateien zu finden und darauf zuzugreifen, darunter Angriffe über Directory Traversal und automatische Scanning-Tools. Die Anfragen stammten von einer Vielzahl von IP-Adressen, was auf ein breites Interesse an verschiedenen Angreiferprofilen und Gegenden hindeutet.
Hier sind einige der interessantesten Ergebnisse, die in dem Bericht erörtert werden:
- Das Fehlen von DevSecOps-Richtlinien stellt eine echte Gefahr für moderne KI- und LLM-Anwendungen dar und führt letztlich zur Preisgabe hochsensibler Kundendaten.
- Wir haben über 480 exponierte und beschreibbare Container-Images gefunden, die eindeutig mit KI zu tun haben. Dazu gehören LLM-Anwendungen mit all ihren Eingabeaufforderungen und API-Konfigurationen.
- Ein Honeypot, der eine fehlkonfigurierte Cloud-Umgebung simuliert, wurde eingerichtet, um Angriffsmuster, gängige Einstiegspunkte und die am häufigsten angegriffenen Ressourcenarten zu beobachten. Der Honeypot zeichnete innerhalb eines Monats 24.488 unberechtigte Zugriffsversuche auf.
- Bei 18.680 Vorfällen handelte es sich um unbefugtes Lesen und Schreiben auf Cloud-Speicherkonten, wobei das Hauptinteresse darin bestand, auf Daten zuzugreifen und diese möglicherweise zu exfiltrieren.
- Ein Großteil der 18.747 Anfragen stammte von einer einzigen IP-Adresse. Das lässt darauf schließen, dass es sich um einen engagierten Angreifer oder einen Botnet-Controller handelt.
- Wir haben nach .env-Dateien in produktionsreifen Codebases gesucht, die über falsch konfigurierte Plattformen gehostet und zugänglich sind, und dabei Geheimnisse auf 1.754 einzelnen Hosts entdeckt.
- Die 1.754 Hosts enthielten zusammen 710 GB Daten, und sensible Informationen wurden in 82.687 Dateien gefunden. Die .env-Datei war mit großem Abstand die beliebteste Datei.
- Insgesamt wurden 677.426 geheim zu haltende Daten in 1.754 verschiedenen Quellen gefunden. Die häufigsten Arten von Geheimnissen waren generische API-Schlüssel, jwt und Cloud-Zugangs-Tokens. Zu den Geheimnissen gehörten auch OpenAI-API-Schlüssel.
- Die Exponierung von privaten Schlüsseln, Cloud-Zugangs-Tokens und Slack-Legacy-Tokens wurde als Hochsicherheitsrisiko identifiziert.
- Wir fanden in den .env-Dateien eine große Anzahl von Datenbank- und E-Mail-Konfigurationen, die einen erheblichen Teil der in der Kategorie der generischen API-Schlüssel im Klartext gespeicherten Geheimnisse ausmachen.
Unser Bericht befasst sich auch mit den proaktiven Maßnahmen, die Unternehmen gegen Fehlkonfigurationsschwachstellen ergreifen müssen, wie z. B. das Scannen nach .env-Dateien und dem Vorhandensein von Geheimnissen in Container-Images und Produktionsumgebungen, das Verhindern der Übertragung von Geheimnissen in Content-Management-Systemen (CMS) und Image-Repositories sowie das Rotieren von Geheimnissen im Falle einer Aufdeckung.
Lesen Sie unseren vollständigen Bericht für weitere Informationen.
