Ambienti di test e laboratori dimostrativi per la sicurezza informatica, lasciati accessibili su internet in configurazioni predefinite o errate, stanno esponendo credenziali cloud, privilegi di accesso e dati sensibili di aziende Fortune 500 e vendor tecnologici di primo piano. Lo ha scoperto Pentera Labs, che ha identificato oltre 1.900 applicazioni vulnerabili attive, più della metà ospitate su infrastrutture AWS, Azure e Google Cloud, già sfruttate da attaccanti in operazioni organizzate di crypto-mining e installazione di backdoor.
Il paradosso è evidente: strumenti progettati per addestrare i difensori informatici si trasformano in vettori d'attacco reali quando dimenticati o mal gestiti. Hackazon, Damn Vulnerable Web Application e OWASP Juice Shop, applicazioni intenzionalmente vulnerabili utilizzate per formazione, sono state scoperte esposte su reti di proprietà di Palo Alto Networks, Cloudflare e F5. La ricerca di Pentera smonta l'assunzione che etichettare un sistema come "training" o "dev" lo renda invisibile agli attaccanti: se connesso a internet e dotato di credenziali cloud, diventa un obiettivo.
L'analisi economica del fenomeno rivela un costo potenziale devastante. I 109 set di credenziali esposte identificati erano frequentemente associati a ruoli IAM con privilegi eccessivi, garantendo accesso amministrativo completo agli account cloud, capacità di leggere e scrivere nei sistemi di gestione dei segreti, e permessi per interagire con registri container dove vengono archiviate e distribuite le immagini. Noam Yaffe, ricercatore senior e team lead della sicurezza offensiva di Pentera, sottolinea che ciò che inizia come laboratorio innocuo può condurre direttamente ai gioielli della corona organizzativa.
I casi concreti documentati sollevano interrogativi sulla governance IT delle organizzazioni coinvolte. Un'applicazione bWAPP mal configurata collegata agli account cloud di Cloudflare su Google Cloud Platform ha permesso ai ricercatori di impersonare account di servizio predefiniti e ottenere accesso in lettura a centinaia di bucket di storage. Analogamente, un'istanza DVWA associata a F5 ha esposto numerosi bucket contenenti log e dati metrici, mentre un'applicazione simile legata a Palo Alto su AWS ha garantito accesso amministrativo completo tramite il ruolo IAM allegato.
La dimensione del problema si amplifica considerando che il 54% delle istanze DVWA scoperte utilizzava ancora le credenziali predefinite "admin:password", e gli attaccanti potevano degradare le impostazioni di sicurezza con un singolo clic, rendendo ogni vulnerabilità integrata banalmente sfruttabile. Questo non è rimasto inosservato: circa il 20% delle istanze analizzate mostrava evidenze chiare di compromissione attiva, con installazioni di XMRig Crypto Miner configurati per operare silenziosamente, script watchdog sofisticati per mantenere la persistenza con meccanismi di auto-recupero e cifratura del payload, e webshell PHP che garantivano controllo remoto completo.
Il team di Pentera ha esfiltrato token OAuth per account di servizio GCP, ottenendo la capacità di assumerne l'identità e accedere a contenuti specifici di bucket. Un bucket "cloud_build" conteneva file compressi facilmente scaricabili, gestiti da un account con permessi amministrativi che violava il principio del minimo privilegio. Yaffe evidenzia che nonostante si trattasse di account di sviluppo o formazione, contenevano segreti altamente sensibili, credenziali e token API.
L'aspetto più preoccupante riguarda la sistematicità delle operazioni malevole. Gli artefatti scoperti indicano attaccanti organizzati con capacità di delivery crittografato del payload, eliminazione delle prove e kill switch per interrompere facilmente le operazioni quando scoperte. La sofisticazione dei meccanismi di persistenza suggerisce attori motivati economicamente, come dimostrano i wallet di criptovalute controllati dagli attaccanti che ricevevano i proventi del mining.
La risposta tecnologica proposta da Pentera include SigInt, un framework di ricognizione autonomo basato su Python e modelli linguistici di grandi dimensioni, disponibile su GitHub. Lo strumento genera firme digitali direttamente da target attivi o repository, cerca corrispondenze applicando punteggi di confidenza, e incorpora intelligence sugli IP, rilevamento dei provider cloud e dati di attribuzione. Tuttavia, la soluzione primaria rimane organizzativa piuttosto che tecnologica.
Le raccomandazioni di Yaffe includono audit regolari per scansionare servizi esposti, applicazione rigorosa del principio del minimo privilegio, isolamento degli ambienti di formazione dalle reti di produzione, e applicazione degli stessi monitoraggi e alert utilizzati per i sistemi produttivi. La restrizione dell'accesso internet in uscita, la documentazione e imposizione di modifiche alle credenziali predefinite pre-deployment, e l'implementazione di controlli che fanno scadere ambienti di test temporanei dopo scadenze specificate sono misure basilari che avrebbero prevenuto ogni caso scoperto.
La questione solleva interrogativi più ampi sulla maturità organizzativa in materia di sicurezza. Se aziende specializzate in cybersecurity e gruppi Fortune 500 commettono errori di igiene informatica basilare, quanto è diffusa questa vulnerabilità sistemica nel tessuto imprenditoriale globale? La proliferazione di ambienti cloud e la velocità di deployment hanno superato la capacità organizzativa di mantenere visibilità e controllo, creando una superficie d'attacco in continua espansione che attende solo di essere scoperta da attori malevoli sempre più sofisticati e organizzati.