Actualités

Google Cloud, Amazon S3 : gare à une mauvaise gestion ou configuration des buckets ! (et c’est pas du poulet…)

Si, pour le commun des mortels, le mot bucket (seau, récipient…) prend tout son sens premier, pour les développeurs et administrateurs, les buckets ne sont pas à prendre en dilettante : il s’agit de contenants Web, en quelque sorte, qui permettront de configurer ou ajuster d’innombrables aspects d’une application ou d’un système porté sur le Cloud ; avec les informations qui vont avec : Comparitech alerte, depuis le 22 Septembre dernier, en confirmant que 6 % des buckets sous Google Cloud sont potentiellement branlants sécuritairement…

 

 

Environ 6% de tous les buckets Google Cloud sont mal configurés et / ou vulnérables aux attaques, selon une analyse de 2064 buckets. 131 de ces contenants étaient vulnérables à un accès non autorisé par des utilisateurs qui pouvaient répertorier, télécharger et / ou télécharger des fichiers. Ces compartiments peuvent contenir des fichiers confidentiels, des bases de données, du code source et des informations d’identification, entre autres. Les attaquants pourraient exploiter ces vulnérabilités pour voler des données, compromettre des sites Web et lancer de nouvelles attaques. Ces vulnérabilités sont faciles à exploiter, disent nos chercheurs. Parmi les données exposées, nous avons découvert 6000 documents numérisés contenant des passeports, des certificats de naissance et des profils personnels d’enfants en Inde“, est-il expliqué, tout en notant que les S3 d’Amazon ou encore Microsoft peuvent être, également, soumis à la même vulnérabilité.

 

Le PoC démontre ainsi qu’en 2 heures et demie environ, il a été possible de mettre la main sur 2 000 buckets. Pour y parvenir, une simple recherche depuis le top 100 des sites Web recensés par Alexa aura suffit, via des mots-clés tels que “bak”, “db”, “database” voire “users“… Note pour développeurs ou gestionnaire de buckets : si ce n’est déjà fait, il est recommandé d’utiliser gsutil ou bucketminer, pour les analyse sous Google mais, donc, également, sous Amazon. Les outils existants sous Google sont aussi à exploiter sans modération aucune, en plus de ses quelques conseils : chiffrer le stockage-cloud via cloud KMS, activer la restriction de partage par domaine, échelonner les niveaux d’accès de manière distincte et claire, faire des audits régulières ou encore intégrer VPC Service Controls en tant que solution sécuritaire… A veiller !

 

 

Source : Comparitech – 22 Septembre 2020 – Cloud : les buckets sont non-sécurisés à hauteur de 6 % pour la solution dédiée de Google (et, potentiellement, pour l’ensemble des solutions concurrentielles).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020