Há um Verme (Worm) na Nuvem! Quão seguros são os servidores em nuvem? Arrow to Content

Nos círculos técnicos, as pessoas têm noção das inúmeras variáveis ​que ​envolvem as nuvens. E que os provedores de nuvem deixam as questões de segurança da máquina virtual, tanto quanto possível, para os clientes resolverem. Os técnicos sabem disso. Porém, nem todos os clientes de nuvem se enquadram nessa categoria (a de técnicos) e nem todas as nuvens são criadas da mesma maneira. Há muitos clientes casuais (leia-se: leigos) e também outros que, embora técnicos, são também muito ocupados.

Digo isto pois é altamente provável que muitas imagens em nuvem (cloud images) do Windows possam estar vulneráveis (por default) ​​a um exploit denominado MS12-020 RDP.

Novas pesquisas, usando o script nmap NSE “rdp-MS12-020.nse”, desenvolvido pela @ea_foundation, mostram que todas as imagens em nuvem do Windows Rackspace estão (por default) vulneráveis. E no AWS (Amazon Web Services) EC2 (Elastic Compute Cloud), quaisquer imagens AMIs ou EBS existentes sem correção (patch) do Windows (pré 13/03/2012), que foram inicializadas com as regras de firewall padrão do Console de Gerenciamento AWS, estão igualmente vulneráveis.

Ou seja, há um verme na nuvem (um cloudworm). Embora os provedores de serviços em nuvem têm tomado algumas medidas para mitigar o risco do exploit MS12-020, o que fizeram é longe de ser suficiente para proteger os clientes. Isto se deve ao fato de que ambos os provedores de serviços em nuvem, AWS EC2 e Rackspace, têm suas configurações de segurança padrão (default) vulneráveis.

Para lançar instâncias da EC2, a nuvem AWS EC2 tem, como regra padrão, um ‘global allow RDP‘ (porta 3389) para todos os seus clientes usando o Console de Gerenciamento AWS. Por sua vez, a nuvem Rackspace tem um ‘ServiceNet’ inseguro (unfirewalled LAN) em todos os seus servidores em nuvem. Traduzindo (para não técnicos): Isto significa que, quando um exploit é desenvolvido para explorar a falha MS12-020, ele pode ser implantado em um número muito grande de servidores em nuvem, caso os provedores de nuvem não ajam prontamente e de forma proativa.

Os clientes mais vulneráveis ​​são os usuários de nuvem casuais, que têm uma expectativa de que os prestadores de serviços em nuvem estejam fornecendo seus servidores virtuais com um conjunto razoável de regras de firewall padrão. Infelizmente, no caso da MS12-020, o oposto é verdadeiro.

Finalmente, os usuários mais experientes podem também não estar fora de perigo. Iniciar as imagens em nuvem do Windows mais antigas deixará o servidor vulnerável, até que o usuário tenha corrigido e reiniciado seu servidor de nuvem – a não ser que ele tenha um conjunto razoável de regras RDP e tenha protegido todas as interfaces de rede “abertas”. Clique aqui para ver a Prova de Conceito (POC)

Fonte: earthgecko. Tradução: Paulo Pagliusi Agradecimento: Rogério de Souza

Fonte: Blog MPSafe – Seu Porto Seguro na Nuvem

Page Dividing Line