Cado Labs ha scoperto e segnalato ad aprile uno strumento di hacking basato su Python, capace di raccogliere credenziali da server Web SMTP mal configurati.
Lo strumento chiamato “Legion” dai suoi stessi sviluppatori è stato distribuito e commercializzato in vari gruppi e canali pubblici Telegram.
L’ultima iterazione Legion
La recente iterazione di Legion riscontrata dai ricercatori presenterebbe anche la capacità di sfruttare i server SSH utilizzando il modulo Paramiko, l’inclusione di percorsi aggiuntivi da enumerare per l’esistenza di file .env (come /cron/.env, /lib/.env, /sitemaps/.env, /tools/.env, /uploads/.env, e /web/.env) e una funzionalità per recuperare ulteriori credenziali specifiche di AWS relative a DynamoDB, CloudWatch e AWS Owl dalle applicazioni Web Laravel.
Misure di Mitigazione
Per precauzione, i ricercatori di Cado Labs raccomandano agli utenti di server Web come Laravel di rivedere i processi di sicurezza esistenti, assicurando un’archiviazione appropriata delle credenziali.
“È chiaro che il targeting da parte dello sviluppatore dei servizi cloud sta avanzando a ogni iterazione“, conclude Matt Muir ricercatore di sicurezza Cado Labs.
La scoperta di Legion sia di monito per le organizzazioni affinché adottino misure di sicurezza adeguate all’evolversi delle minacce.