Ambienti di test e demo lasciati accessibili su internet stanno esponendo credenziali cloud, privilegi di gestione delle identità e dati sensibili di aziende Fortune 500 e vendor di sicurezza informatica di primo piano. Lo ha rivelato una ricerca condotta da Pentera Labs, che ha individuato 1.926 applicazioni vulnerabili attive, oltre la metà delle quali ospitate su infrastrutture aziendali di AWS, Azure e Google Cloud. Tra le organizzazioni coinvolte figurano nomi come Palo Alto Networks, Cloudflare e F5, i cui sistemi sono risultati accessibili attraverso piattaforme di training come Hackazon, DVWA e OWASP Juice Shop.
L'analisi evidenzia un paradosso preoccupante nel settore della cybersecurity: le stesse aziende che forniscono soluzioni di protezione sono cadute vittima di errori di configurazione elementari. Il problema non riguarda vulnerabilità tecniche sofisticate, ma basilari lacune nella gestione degli ambienti di sviluppo e formazione. Questi sistemi, etichettati come "training" o "demo", vengono spesso percepiti come innocui e quindi trascurati nelle politiche di sicurezza, diventando paradossalmente punti di accesso privilegiati per gli attaccanti.
La scoperta iniziale è avvenuta quasi per caso durante una valutazione di sicurezza cloud per un cliente, quando i ricercatori hanno identificato un'istanza esposta di Hackazon, un sito di test volutamente vulnerabile sviluppato da Deloitte. Da lì è partita un'indagine sistematica che ha portato all'individuazione di 109 set di credenziali esposte, molte delle quali associate a ruoli IAM con privilegi eccessivi. Questi accessi garantivano diritti amministrativi completi sugli account cloud, possibilità di leggere e scrivere sui secret manager, e permessi per interagire con i registri dei container.
Particolarmente allarmante è il dato sulle configurazioni predefinite: nel caso di DVWA, il 54% delle istanze scoperte utilizzava ancora le credenziali di default "admin:password". Inoltre, gli attaccanti potevano abbassare le impostazioni di sicurezza con un singolo click, passando dal livello "impossibile" a quello "basso", rendendo ogni vulnerabilità incorporata banalmente sfruttabile. Questa negligenza nella gestione delle password rappresenta una violazione elementare delle best practice di sicurezza.
L'impatto reale emerge dall'analisi dei casi specifici. In un'applicazione bWAPP mal configurata collegata agli account cloud di Cloudflare su Google Cloud Platform, i ricercatori sono riusciti a impersonare account di servizio predefiniti e ottenere accesso in lettura a centinaia di bucket di archiviazione. Analogamente, un DVWA associato a F5 ha permesso l'accesso a numerosi bucket contenenti log e dati metrici, mentre un'istanza legata a Palo Alto su AWS ha garantito privilegi amministrativi completi sull'account.
Le prove raccolte dimostrano che questi vettori di attacco non sono solo teorici. Circa il 20% delle istanze DVWA esaminate conteneva artefatti distribuiti da attori malevoli, con campagne di sfruttamento organizzate e continuative già in corso. Gli attaccanti, ritenuti di origine est-europea, hanno implementato crypto miner XMRig configurati per operare silenziosamente, script watchdog sofisticati per mantenere la persistenza con meccanismi di auto-recupero e consegna di payload criptati, e webshell PHP che garantivano pieno controllo sui sistemi remoti.
La gravità della situazione è amplificata dal tipo di informazioni esposte. I ricercatori hanno facilmente scoperto segreti come chiavi Slack, token GitHub e credenziali Docker Hub, oltre a dati utente reali e codice sorgente proprietario. In un caso, un account GCP gestito da un'email amministrativa violava il principio del privilegio minimo contenendo permessi sulle policy, nonostante fosse classificato come account di sviluppo o formazione. Il bucket "cloud_build" conteneva file .tgz facilmente scaricabili da potenziali attaccanti.
La risposta tecnica proposta da Pentera include SigInt, un framework di ricognizione autonomo basato su Python e potenziato da modelli linguistici di grandi dimensioni, ora disponibile su GitHub. Lo strumento genera firme digitali direttamente da un target attivo o da repository GitHub, cerca corrispondenze applicando punteggi di confidenza, e incorpora intelligence sugli indirizzi IP, rilevamento dei provider cloud e dati di attribuzione. Tuttavia, la tecnologia da sola non basta.
Le raccomandazioni operative includono l'inventario completo di tutte le risorse cloud, compresi deployment temporanei e di test, audit regolari per identificare servizi esposti, e l'applicazione rigorosa del principio del privilegio minimo. Gli ambienti di formazione non dovrebbero mai avere associati ruoli IAM con permessi estesi, e andrebbero isolati dalle reti di produzione pur mantenendo lo stesso livello di monitoraggio e alerting. Fondamentale anche implementare controlli temporali che facciano scadere automaticamente gli ambienti di test dopo un periodo specificato.
Questo episodio fa sorgere diverse domande sulla cultura della sicurezza nelle organizzazioni tecnologiche. Se aziende specializzate in cybersecurity cadono in errori così elementari, quale può essere lo stato della protezione in settori meno specializzati? La tendenza a considerare gli ambienti di sviluppo come "non critici" rivela un gap concettuale pericoloso: in architetture cloud moderne, ogni endpoint rappresenta un potenziale punto di ingresso verso asset strategici. Resta da vedere se questo campanello d'allarme spingerà finalmente il settore ad applicare agli ambienti di test gli stessi standard rigorosi riservati alla produzione.
