Hackers exploit security testing apps to breach Fortune 500 firms

Exploitation des applications de test de sécurité pour infiltrer les entreprises

Des acteurs malveillants exploitent des applications web conçues pour la formation à la sécurité et les tests d’intrusion internes (telles que DVWA, OWASP Juice Shop, Hackazon, bWAPP) lorsqu’elles sont mal configurées et exposées publiquement. Ces applications, intentionnellement vulnérables, deviennent des portes d’entrée vers les environnements cloud d’entreprises du Fortune 500 et de fournisseurs de sécurité.

Points Clés :

• Une enquête a révélé 1 926 applications de test vulnérables exposées sur le web.
• Ces applications sont souvent associées à des rôles IAM (Gestion des Identités et des Accès) excessivement privilégiés sur les plateformes AWS, GCP et Azure.
• Les pirates utilisent ces vulnérabilités pour déployer des mineurs de cryptomonnaies, installer des webshells, ou accéder à des systèmes plus sensibles.
• Des preuves d’exploitation active ont été découvertes, notamment des instances de DVWA contenant des artefacts malveillants (environ 20% des cas examinés).
• Les compromissions incluent l’exploitation d’identifiants cloud, le non-respect du principe du moindre privilège, et l’utilisation de credentials par défaut dans plus de la moitié des cas.

Vulnérabilités :

Aucune CVE spécifique n’est mentionnée dans l’article. Les vulnérabilités exploitées découlent de la nature même de ces applications de test (intentionnellement vulnérables) combinée à une mauvaise configuration et une exposition publique.

Recommandations :

• Maintenir un inventaire complet de toutes les ressources cloud, y compris les applications de test.
• Isoler les environnements de test des environnements de production.
• Appliquer des rôles IAM basés sur le principe du moindre privilège pour les systèmes non critiques.
• Changer les identifiants par défaut.
• Mettre en place une expiration automatique pour les ressources temporaires.

Source