Cet article, publié par Praetorian, met en lumière les risques de sécurité associés aux plateformes de surveillance et de journalisation internes telles que Datadog, Kibana et Sumo Logic. Il démontre comment des testeurs d’intrusion et des équipes rouges peuvent exploiter ces plateformes pour découvrir des informations sensibles et des identifiants involontairement enregistrés.
L’article présente une étude de cas détaillée où l’accès à une instance Kibana non authentifiée a conduit à une compromission complète du domaine à travers une chaîne de découvertes d’identifiants. Cette chaîne inclut la découverte de GitHub PAT, l’analyse de dépôt avec Nosey Parker, la compromission de plateformes DevOps, la coercition d’authentification LDAP avec Responder, l’escalade de privilèges Active Directory via une attaque de Shadow Credentials, et finalement DCSync pour l’accès admin du domaine.
Les stratégies de mitigation techniques proposées incluent le nettoyage des journaux, le contrôle d’accès, la numérisation automatique des secrets et la rotation des identifiants. Ces mesures visent à renforcer la sécurité des plateformes de surveillance pour éviter de telles compromissions.
Les TTPs identifiés incluent l’accès non authentifié à Kibana, l’utilisation de Nosey Parker pour l’analyse de dépôt, la coercition LDAP avec Responder, l’attaque de Shadow Credentials et DCSync pour l’escalade de privilèges.
Cet article est une analyse technique visant à sensibiliser aux risques de sécurité des plateformes de surveillance internes et à proposer des mesures de mitigation.
🧠 TTPs détectés
TTPs
Accès non authentifié à Kibana, Utilisation de Nosey Parker pour l’analyse de dépôt, Coercition LDAP avec Responder, Attaque de Shadow Credentials, DCSync pour l’escalade de privilèges
🔗 Source originale : https://www.praetorian.com/blog/hunting-for-secrets-in-plain-sight-leveraging-internal-logging-and-monitoring-services/