Apps d’entraînement vulnérables exposées : compromissions cloud chez des acteurs majeurs
Selon Pentera Labs (blog Pentera.io), une étude à grande échelle montre que des applications de formation volontairement vulnérables (OWASP Juice Shop, DVWA, Hackazon, bWAPP…) laissées accessibles sur Internet dans des environnements cloud sont activement exploitées, ouvrant la voie à des compromissions de rôles IAM sur‑privilégiés et à des mouvements latéraux vers des systèmes sensibles. • Constat global: plus de 10 000 résultats bruts collectés via des moteurs (Shodan, Censys), conduisant à 1 926 applications vulnérables vérifiées et en ligne, déployées sur 1 626 serveurs uniques; près de 60 % (974) sur des infrastructures cloud d’entreprise (AWS, Azure, GCP). 109 jeux d’identifiants temporaires de rôles cloud exposés ont été trouvés, souvent avec des permissions trop larges (jusqu’à AdministratorAccess), permettant des actions à fort impact (accès aux stockages S3/GCS/Azure Blob, Secrets Manager, registres de conteneurs, déploiement/destruction de ressources, etc.). ...