Nº5 | Salvem os buckets! Estudo demonstra que repositórios abandonados só premiam o malware
Pesquisa é mais uma demonstração de que largar seus brinquedos por aí pode trazer graves consequências.
Especialistas da WatchTowr publicaram mais um relatório na última terça (4) sobre os perigos ligados ao abandono de ativos, sejam eles servidores ou outros repositórios, na internet e o que pode acontecer quando alguém mal-intencionado os sequestra. Na primeira pesquisa dessa série, meses atrás, eles chamaram a atenção para os perigos ligados ao sequestro de um tipo de servidor com uma função bastante específica: a de ser consultados sobre o registro de sites. Em outros estudo, se apropriaram de 4 mil backdoors que, um dia, renderam dados para criminosos, mas que posteriormente foram desprezados por aí e dessa vez, o alvo foi mais de uma centena de endereços de Buckets S3 da AWS, o serviço de nuvem da Amazon.
Buckets S3, o S3 vem de Simple Storage Service, são uma forma de armazenamento versátil, barata e facilmente escalável em tamanho, oferecida dentre os diversos serviços em nuvem da AWS. Eles possuem várias finalidades, sobretudo corporativas, podendo ser usados no armazenamento de pastas e arquivos, no backup de servidores e na hospedagem de sites, dentre outras coisas. Daqui pra frente os referenciarei somente como buckets e vou dar um exemplo de uso comum, que não é o único, mas representa muito bem os casos em que depois ele é abandonado.
Imagine uma empresa chamada “Loja do Cloelson” a qual faz uma promoção que vai premiar N pessoas com carros, TVs, máquinas de lavar, etc. Esta loja contrata uma celebridade para divulgar a campanha e junto com os anúncios na TV e nos pontos de venda, a varejista desenvolve um site e um aplicativo móvel para a promoção.
Vamos supor que as pessoas tivessem que se cadastrar pelo aplicativo e também usá-lo para, de alguma forma, comprovar que estiveram na loja e assim serem elegíveis a concorrer aos prêmios. A infraestrutura do site teria um bucket na AWS para, além de ser o repositório do site da promoção, armazenar os dados enviados por milhões de smartphones em que o aplicativo foi instalado.
Além disso, imagine que o app estivesse programado para, de tempos em tempos, fazer uma chamada ao bucket para, por exemplo, executar um código que checasse se o participante realmente esteve na loja. Para isso, de forma imperceptível ao usuário, ele periodicamente chamaria um endereço parecido com https[:]//promocaodocloelson.s3.amazonaws[.]com/checagem.js.
Passa o tempo, as pessoas se cadastram - e eventualmente são sorteadas - e o “evento” da promoção se encerra. É hora de desmontar o circo e tirar a infraestrutura do ar, o que acaba resultando na remoção do bucket. Ocorre que buckets removidos que estão referenciados a aplicações nas mãos de terceiros, como nesse exemplo, se não forem configurados direito, podem ter seu endereço usado por outra pessoa.
Isso quer dizer que, mesmo que o bucket seja deletado, os aplicativos instalados nos celulares dos clientes da “Loja do Cloelson” continuarão consultando o hipotético endereço de checagem e não encontrando nada. Mas, e se um criminoso tomasse conta desse endereço e redirecionasse as chamadas para o seu próprio bucket? E, se ele fizesse isso para que, quando o aplicativo no smartphone da vítima buscasse por https[:]//promocaodocloelson.s3.amazonaws[.]com/checagem.js, ao invés de rodar o código original de checagem, ele executasse um código adulterado, feito para silenciosamente instalar um malware no celular da vítima?
Pois bem, gente. Isso é possível e não é algo novo.
Então, o que o pessoal da WatchTowr fez foi escanear boa parte da internet em busca de endereços de buckets abandonados, que estavam nessa situação de vulnerabilidade. Eles se apropriaram de uma amostra de aproximadamente 150 endereços cujas requisições passaram a chegar nos buckets da WatchTowr. As requisições foram analisadas e os pesquisadores documentaram possíveis cenários de ataque. Veja, eles não atacaram ninguém, nem fizeram nada ilegal. Somente adotaram crianças abandonadas na internet e imaginaram o que poderia acontecer se as treinassem para atuar em uma milícia.
Foram 8 milhões de requisições aos endereços da amostra, que antes pertenciam a entidades governamentais de vários países, redes militares, empresas listadas no Fortune 500 e Fortune 100, uma rede de pagamentos e empresas de cibersegurança (isso mesmo, cibersegurança), dentre outras entidades.
E quais tipos de chamadas estavam sendo feitas a esses buckets? Tinha de tudo: antigos repositórios de atualização de software que poderiam ser preenchidos com versões maliciosas (aí a vítima pensa que está atualizando seu sistema e é infectada com malware) referências a componentes de sistemas de VPN, a máquinas virtuais, a arquivos…. tudo isso com o potencial de ser adulterado e contaminado com código malicioso, algo que poderia ser automaticamente buscado e instalado por um software programado pra isso ou por uma pessoa que simplesmente quer encontrar um manual da sua impressora, mas, em seu lugar, acha um PDF com malware.
Com os dados comprovando o problema, os especialistas da WatchTowr procuraram a AWS que desativou todos os endereços identificados na pesquisa. Mas isso não quer dizer que o problema foi definitivamente resolvido. Segundo um porta-voz da AWS ouvido pelo CyberScoop é necessário aplicar as boas práticas de segurança recomendadas pela Amazon "incluindo o uso de identificadores exclusivos ao criar nomes de buckets para evitar a reutilização não intencional e garantir que os aplicativos sejam configurados adequadamente para fazer referência apenas aos buckets de propriedade do cliente”. Essas medidas estão referenciadas aqui.
Um ataque deste tipo pode conceder ao seu operador um poder imenso: basta acumular endereços de buckets abandonados e depois responder às chamadas com o seu malware, invadindo dispositivos e redes de todo o tipo. Do computador de uma base militar ao celular de uma vovó que só queria ganhar um carro da Loja do Cloelson.
O impacto do pé na porta
Acólitos de Elon Musk têm causado uma grande agitação por onde passam. Com o beneplácito da carteirada, eles estão metendo o pé nas portas das agências e buscando acessar dados para cumprir com a função da DOGE, supostamente para melhorar a eficiência do país.
Dentre os democratas, o protesto é o de que Musk não foi eleito ou passou por uma sabatina seguida de aprovação no senado que, segundo o rito, lhe concederia autoridade pra tal coisa.
Para além da briga política, se discute tecnicamente que tipo de acesso o time de Musk teria nesses servidores. O Departamento do Tesouro fala em “somente leitura”, mas essa condição de privilégios pode estar permitindo a cópia dos dados sabe-se lá pra onde. Uma apuração da Wired dá conta de que, pelo menos um engenheiro da DOGE teria obtido acesso administrativo ao sistema de pagamentos do Tesouro.
Especialistas em privacidade já chamam o episódio de “um vazamento de dados de proporções exponenciais”. Para alguns, a preocupação com relação à segurança desses dados pode parecer bobagem, pois essa é uma equipe autorizada pelo presidente Trump. No entanto, quem é de segurança sabe que a concessão de acesso e a cópia de dados sem controle, monitoramento e, no caso de sistemas públicos, transparência é um prato cheio para a espionagem alheia.
No Horizonte
A Cisco corrigiu duas vulnerabilidades críticas no Cisco Identity Services Engine (ISE), produto feito para gerenciar usuários e os mais variados tipos dispositivos em uma organização. As falhas (CVE-2025-20124 e CVE-2025-20125) permitem que um adversário já autenticado possa elevar seu nível de acesso e executar comandos arbitrários no produto. Esse é o tipo de vulnerabilidade apetitosa para atacantes de todo tipo que queiram controlar uma rede rapidamente, pois quem tem o poder de gerenciar um gerenciador de usuários e dispositivos, por tabela, gerencia a coisa toda.
Semana passada, eu tratei, aqui na TLP Black, de uma vulnerabilidade (CVE-2024-40891) identificada em julho do ano passado e ainda sem solução nos dispositivos da linha CPE da Zyxel. Falha esta que vem sendo explorada em uma série de ataques. Pois bem, a Zyxel se pronunciou sobre o tema dizendo que estes dispositivos são obsoletos e tiveram seu suporte descontinuado. Ou seja, se você ou sua organização tiverem um dos equipamentos mencionados nesse link, terá de trocá-lo por um novo.
Especialistas da Sentinel One descobriram mais uma variante de um malware para macOS que tem sido usada por grupos norte-coreanos em meio a uma série de ataques contra desenvolvedores de software que são persuadidos a concorrerem a vagas de emprego falsas. Falei sobre essa abordagem nas edições de nº2 e nº4 da TLP Black. Dentre as novidades desta nova ameaça, batizada de FlexibleFerret, está o fato de que ela é entregue, disfarçada de aplicativo do Zoom, por meio da um instalador para o macOS assinado, ou seja, feito usando a conta de um desenvolvedor que conseguiu ser credenciado no ecossistema da Apple.
Os mantenedores do Android postaram o seu boletim de segurança para fevereiro. Mais de trinta falhas foram corrigidas, com destaque para a CVE-2024-53104, uma vulnerabilidade de escalação de privilégios no kernel do Android que está sendo explorada por grupos criminosos (ou ligados a governos) nesse momento. Pense no kernel como um regente de uma orquestra que controla uma série de funções do sistema. Ter o controle do regente é ter um poder enorme no sistema operacional. Então não deixe de atualizar seu dispositivo Android.
Outra vulnerabilidade identificada na semana como “sob exploração em ataques” afeta o Microsoft Office. O bug foi catalogado como CVE-2024-21413, possui uma correção disponível desde meados do ano passado e, para quem não atualizou seu Office ainda, saiba ele permite que um adversário execute código remotamente no computador da vítima, o que pode permitir o controle total da máquina.
Link Aleatório
“I know Anchises” - O Anchises Moraes, figura frequente em praticamente todos os eventos de segurança da galáxia, lançou o seu, super útil, calendário de eventos para o primeiro semestre desse ano. Link aqui.
“Phasers in Alignment!” - Foram recentemente divulgadas as imagens do teste, feito pela marinha dos Estados Unidos, de uma arma laser chamada Helios. A prova de conceito aconteceu, com sucesso, no destróier USS Preble contra um alvo móvel no ar. O Helios vem sendo desenvolvido pela Lockheed Martin desde 2018 e tem a potência de 300 kW, operando geralmente a 60 kW que é o mesmo poder de um cortador de chapas de aço industrial. A arma poderá ser usada em sistemas de defesa antimísseis.
Penso, logo pesquiso. Em meio a celeuma do DeepSeek, a OpenAI soltou o “Research”, o agente baseado no o1, seu novo modelo de raciocínio que, como o nome o nome diz, faz pesquisas. Pra quem, como eu, se lasca buscando informações em diversas fontes de modo a responder uma pergunta, o brinquedo é lindo, mas caro e cujos vieses ainda precisam ser avaliados. Seu acesso é limitado a quem tem o plano Pro, que custa US$ 200/mês.
Quer ver ele funcionando, dá uma sacada nesse vídeo aqui.
Como sempre, ótimas analógias e uma didática impecável! Parabéns pelo artigo, Cabral!