Selon Pentera Labs (blog Pentera.io), une étude à grande échelle montre que des applications de formation volontairement vulnérables (OWASP Juice Shop, DVWA, Hackazon, bWAPP…) laissées accessibles sur Internet dans des environnements cloud sont activement exploitées, ouvrant la voie à des compromissions de rôles IAM sur‑privilégiés et à des mouvements latéraux vers des systèmes sensibles.

• Constat global: plus de 10 000 résultats bruts collectés via des moteurs (Shodan, Censys), conduisant à 1 926 applications vulnérables vérifiées et en ligne, déployées sur 1 626 serveurs uniques; près de 60 % (974) sur des infrastructures cloud d’entreprise (AWS, Azure, GCP). 109 jeux d’identifiants temporaires de rôles cloud exposés ont été trouvés, souvent avec des permissions trop larges (jusqu’à AdministratorAccess), permettant des actions à fort impact (accès aux stockages S3/GCS/Azure Blob, Secrets Manager, registres de conteneurs, déploiement/destruction de ressources, etc.).

• Cas étudiés (divulgation responsable et corrections effectuées) :

  • Cloudflare (bWAPP, GCP) — Impersonation du service account par défaut redacted-project-number-compute@developer.gserviceaccount.com et lecture de centaines de buckets (pas d’exfiltration réalisée).
  • F5 Inc. (DVWA, GCP) — Impersonation du service account par défaut et lecture de multiples buckets (logs, métriques…).
  • Palo Alto Networks (DVWA, AWS) — Rôle IAM attaché donnant un accès administrateur au compte AWS; instance isolée de formation sans données sensibles, selon l’éditeur.

• Exploitation active observée dans la nature: environ 20 % des 616 instances DVWA analysées présentaient des artefacts malveillants (campagne organisée), notamment:

  • Crypto‑miner XMRig minant du Monero via xmr.kryptex.network:8029.
  • Script de persistance sophistiqué watchdog.sh (auto‑récupération, double processus, téléchargement d’outils, livraison chiffrée AES‑256, anti‑forensique, kill switch).
  • Webshell PHP filemanager.php avec accès complet au système de fichiers et exécution de commandes (identifiants codés en dur; fuseau Europe/Minsk).

• Chaîne d’attaque type (ex. DVWA) :

  • Accès initial via identifiants par défaut (54 % des DVWA exposées utiliseraient admin:password) et abaissement des niveaux de sécurité internes.
  • Exécution de code (RCE) par téléversement de fichier malveillant puis pivot vers persistance et collecte.
  • Vol d’identifiants cloud via le service de métadonnées (http://169.254.169.254) et escalade vers le plan de gestion cloud (listage/téléchargement de buckets, accès Secrets Manager, registres de conteneurs, modification de politiques IAM, etc.).

• Outils et méthodologie: Pentera Labs a développé SigInt, un framework open source d’autoreconnaissance (fingerprinting par LLM, découverte multi‑plateformes, vérification active, enrichissement et attribution) pour automatiser l’identification et la validation d’instances exposées à grande échelle.

Type d’article et objectif principal: publication de recherche détaillant une méthodologie de reconnaissance, des preuves d’exploitation active, des statistiques d’exposition réelles et la présentation d’un outil open source.

🧠 TTPs et IOCs détectés

TTP

Initial Access via default credentials, Execution through file upload, Persistence with sophisticated script, Credential Access via cloud metadata service, Privilege Escalation to cloud management plane, Lateral Movement to sensitive systems, Discovery of cloud resources, Collection of sensitive data, Impact through resource deployment/destruction

IOC

Domain: xmr.kryptex.network, Script: watchdog.sh, Webshell: filemanager.php, Default credentials: admin:password, Metadata service URL: http://169.254.169.254

🔗 Source originale : https://pentera.io/blog/exposed-cloud-training-apps-pentera-labs/