Hackerii abuzează de tunelurile Cloudflare pentru a-și ascunde comunicațiile
Noi cercetări au dezvăluit că actorii care reprezintă amenințări abuzează de tunelurile Cloudflare pentru a stabili canale de comunicare ascunse de pe gazde compromise și pentru a păstra accesul persistent.
„Cloudflared este foarte asemănător din punct de vedere funcțional cu ngrok„, a declarat Nic Finn, analist senior de informații despre amenințări la GuidePoint Security. „Cu toate acestea, Cloudflared diferă de ngrok prin faptul că oferă mult mai multe posibilități de utilizare în mod gratuit, inclusiv capacitatea de a găzdui conectivitate TCP pe cloudflared.„
Un instrument în linie de comandă pentru Cloudflare Tunnel, cloudflared permite utilizatorilor să creeze conexiuni sigure între un server web de origine și cel mai apropiat centru de date Cloudflare, astfel încât să ascundă adresele IP ale serverului web, precum și să blocheze atacurile volumetrice de tip DDoS (distributed denial-of-service) și atacurile de autentificare prin forță brută.
Pentru un actor de amenințare cu acces ridicat pe o gazdă infectată, această caracteristică prezintă o abordare profitabilă pentru a pune piciorul în prag prin generarea unui token necesar pentru a stabili tunelul de pe mașina victimă.
„Tunelul se actualizează imediat ce se face modificarea configurației în Cloudflare Dashboard, permițând AT să activeze funcționalitatea doar atunci când doresc să desfășoare activități pe mașina victimă, apoi să dezactiveze funcționalitatea pentru a preveni expunerea infrastructurii lor„, a explicat Finn.
„De exemplu, AT ar putea activa conectivitatea RDP, colecta informații de la mașina victimă, apoi dezactiva RDP până a doua zi, reducând astfel șansele de detectare sau capacitatea de a observa domeniul utilizat pentru a stabili conexiunea.„
Și mai îngrijorător este faptul că adversarul ar putea profita de funcționalitatea rețelelor private a tunelului pentru a accesa pe furiș o serie de adrese IP (adică puncte finale dintr-o rețea locală) ca și cum ar fi „fizic colocalizate cu mașina victimă care găzduiește tunelul„.
Acestea fiind spuse, tehnica și-a găsit deja adepți în natură. La începutul acestui an, Phylum și Kroll au detaliat două atacuri diferite ale lanțului de aprovizionare cu software care au vizat depozitul Python Package Index (PyPI), în care s-a observat că pachetele frauduloase au fost descărcate prin cloudflared pentru a accesa de la distanță punctul final prin intermediul unei aplicații web Flask.
„Organizațiile care utilizează în mod legitim serviciile Cloudflare ar putea, eventual, să își limiteze serviciile la anumite centre de date și să genereze detecții pentru traficul precum tunelurile Cloudflared care se îndreaptă către orice loc, cu excepția centrelor de date specificate„, a declarat Finn. „Această metodă ar putea ajuta la detectarea tunelurilor neautorizate.”
Pentru a identifica posibila utilizare abuzivă a Cloudflared, se recomandă ca organizațiile să implementeze mecanisme de jurnalizare adecvate pentru a monitoriza comenzile anormale, interogările DNS și conexiunile de ieșire, alături de blocarea încercărilor de descărcare a executabilului.
Sursa: TheHackerNews.com
Tradus și adaptat cu www.DeepL.com/Translator (free version)