Tienduizenden AWS S3-buckets geïnfecteerd door malware die betaalgegevens steelt

Criminelen gaan succesvol opzoek naar websites die draaien op fout geconfigureerde S3-buckets die ze vervolgens infecteren met MageCard-malware. De malware kan zo kredietkaartgegevens van webshopklanten stelen.

Misconfiguratie en een gebrek aan inzicht zijn twee van de grootste beveiligingsproblemen in de cloud, zo blijkt alweer. Criminelen gewapend met een scantool gaan actief opzoek naar slecht ingestelde AWS S3-buckets. Het gaat om buckets die openstaan naar het publieke internet met zonder beperkte schrijfprivileges.

Automatische aanval

Wanneer er op dergelijke S3-opslag een website draait, gaan de hackers opzoek naar JavaScript-bestanden. Die downloaden ze, waarna ze de code voor de MageCard-malware aan het script toevoegen en het origineel op de S3-bucket overschrijven. Een website die het JavaScript draait en betaalgegevens van klanten verwerkt, stuurt zo ongewild die gegevens door naar de makers van het virus.

De voorwaarden voor de aanval zijn strikt. Om te werken moeten de aanvallers een website vinden waarop consumenten betaalgegevens achterlaten, die gehost wordt op een S3-bucket met foutief ingestelde schrijfprivileges. Relatief gezien zijn er zo niet heel veel exemplaren maar in absolute cijfers ontdekten beveiligingsonderzoekers van RiskIQ 17.000 getroffen domeinen. De aanval kan succes oogsten omdat hij volledig automatisch loopt, waardoor het niet uitmaakt dat slechts een klein percentage van de onderzochte websites echt kwetsbaar is.

Juist configureren

De ontdekking van de aanval op grote schaal is een goed moment voor AWS-administrators om de configuratie van de eigen cloudomgeving even na te kijken. Buckets met privédata hoeven immers niet publiek te staan, en S3-opslag die wel publiek staat moet onderhevig zijn aan een afgelijnd toegangsbeleid. Wie zijn omgeving goed configureert, heeft van deze aanval niets te vrezen.

Gerelateerd: Veilig in de cloud: waarom AWS zijn eigen chips ontwikkelt