在过去的两年中,多个威胁行为者几乎没有引起自己的注意,他们花费了三年的时间对互联网进行大规模扫描,以查找意外上载并暴露在Web服务器上的ENV文件。
ENV 文件或 环境文件是开发工具通常使用的一种配置文件。
诸如Docker,Node.js,Symfony和Django之类的框架使用ENV文件来存储环境变量,例如API令牌,密码和数据库登录名。
由于它们保存的数据的性质,ENV文件应始终存储在受保护的文件夹中。
“我想像一个僵尸网络扫描这些文件找到存储的证书,这将允许攻击者与像火力地堡,或AWS实例等,与数据库交互” 丹尼尔·邦斯,首席安全分析师 SecurityJoes告诉 网易科技。
Bunce补充说:“如果攻击者能够访问私有API密钥,他们可能会滥用该软件。”
应用程序开发人员经常收到有关恶意僵尸网络扫描GIT配置文件或 意外的是在线上载的SSH私钥的警告 ,但是对ENV文件的扫描 与前两次一样普遍。
超过 2800个不同的IP地址 已经被用来扫描ENV文件,在过去的三年中,有超过 1100台扫描仪 在过去一个月内,据安全厂商Greynoise。
识别ENV文件的威胁参与者最终将下载文件,提取任何敏感凭据,然后破坏公司的后端基础结构。
这些后续攻击的最终目标可以是从盗窃知识产权和商业机密,到勒索软件攻击或安装隐藏的加密采矿恶意软件。
建议开发人员进行测试,看看他们的应用程序的ENV文件是否可以在线访问,然后保护任何意外暴露的ENV文件。对于公开的ENV文件,还必须更改所有令牌和密码。
页面更新:2024-03-05
本站资料均由网友自行发布提供,仅用于学习交流。如有版权问题,请与我联系,QQ:4156828
© CopyRight 2020-2024 All Rights Reserved. Powered By 71396.com 闽ICP备11008920号-4
闽公网安备35020302034903号