文章摘要:跨国媒体集团 Thomson Reuters 留下了一个开放的数据库,其中包含敏感的客户和公司数据,包括明文格式的第三方服务器密码。攻击者可以利用这些细节进行供应链攻击。Cybernews 研究团队发现,汤森路透至少保留了三个数据库供任何人查看。其中一个开放实例是面向公众的 3TB ElasticSearch 数据库,其中包含来自公司各个平台的大量敏感的最新信息。该公司意识到了这个问题并立即修
跨国媒体集团 Thomson Reuters 留下了一个开放的数据库,其中包含敏感的客户和公司数据,包括明文格式的第三方服务器密码。攻击者可以利用这些细节进行供应链攻击。
Cybernews 研究团队发现,汤森路透至少保留了三个数据库供任何人查看。其中一个开放实例是面向公众的 3TB ElasticSearch 数据库,其中包含来自公司各个平台的大量敏感的最新信息。该公司意识到了这个问题并立即修复了它。
Thomson Reuters 为客户提供的产品包括企业对企业媒体工具 Reuters Connect、法律研究服务和数据库 Westlaw、税务自动化系统 ONESOURCE、编辑和源材料在线研究套件 Checkpoint 以及其他工具。
团队发现的开放数据库的大小与使用 ElasticSearch 的公司相对应,ElasticSearch 是处理大量、不断更新的数据量的企业所青睐的数据存储。
- 收入 63.5 亿美元的媒体巨头至少开放了三个数据库
- 至少 3TB 敏感数据暴露给第三方服务器,包括 Thomson Reuters 明文密码
- 公司收集的数据是威胁参与者的宝库,在地下犯罪论坛上可能价值数百万美元
- 该公司已立即解决此问题,并开始通知他们的客户
- 汤森路透淡化了这个问题,称它只影响“汤森路透全球贸易客户的一小部分”
- 数据集开放了几天——恶意机器人能够在几个小时内发现实例
- 威胁参与者可以利用泄漏进行攻击,从社会工程攻击到勒索软件
Thomson Reuters 服务器内 ElasticSearch 索引的命名表明,开放实例被用作日志服务器,以收集通过用户-客户端交互收集的大量数据。换句话说,该公司收集并暴露了数千 GB 的数据,Cybernews 的研究人员认为这些数据在地下犯罪论坛上价值数百万美元,因为它可能会提供给其他系统的访问权限。
与此同时,汤森路透声称,在该团队告知该公司的三台配置错误的服务器中,有两台旨在公开访问。第三台服务器是非生产服务器,用于“来自预生产/实施环境的应用程序日志”。
泄露的数据
团队审查的数据样本上的时间戳表明该信息是最近记录的,其中一些数据是 10 月 26 日的最新数据。据研究人员称,开放数据库中的日志包含敏感信息,可能导致供应链攻击如果被威胁者访问。
例如,开放数据集持有第三方服务器的访问凭证。详细信息以纯文本格式保存,任何通过打开实例爬行的人都可以看到。根据 Cybernews 安全研究主管 Mantas Sasnauskas 的说法,此类信息将使威胁参与者能够在与 Thomson Reuters 合作的公司使用的系统中获得初步立足点。
“ElasticSearch 是一种非常常见且广泛使用的数据存储,并且容易出现配置错误,这使得任何人都可以访问它。该实例使敏感数据处于打开状态,并且已通过流行的 IoT [物联网] 搜索引擎进行索引。这为恶意行为者提供了一个巨大的攻击面,不仅可以利用内部系统,还可以利用供应链攻击进行攻击。一个简单的人为错误可能导致破坏性攻击,从数据泄露到勒索软件,”Sasnauskas 说。
该团队还发现打开的实例包含登录和密码重置日志。虽然这些不会暴露旧密码或新密码,但日志会显示帐户持有人的电子邮件地址,并且可以看到发送密码更改查询的确切时间。
另一条敏感信息包括 SQL(结构化查询语言)日志,显示 Thomson Reuters 客户正在寻找的信息。这些记录还包括查询带回的信息。
这包括包含有关特定企业或个人的公司和法律信息的文件。例如,一家位于美国的公司的员工正在使用汤森路透服务寻找有关俄罗斯组织的信息,却发现其董事会成员因其在入侵乌克兰中的作用而受到美国的制裁。
该团队还发现,开放数据库包括对其他平台的内部筛选,例如 YouTube、汤森路透客户的访问日志以及与其他数据库的连接字符串。连接字符串的暴露尤其危险,因为公司的内部网络元素暴露在外,使得威胁参与者能够横向移动并通过 Reuter Thomson 的内部系统进行枢转。
由于数据库拥有超过 690 万条独特的日志,这些日志占用了超过 3TB 的服务器磁盘,因此打开的实例很可能包含更多敏感数据。该团队声称,如果不跨越研究人员运作的道德界限,就不可能知道数据集实际有多大。
“这个实例使敏感数据处于打开状态,并且已经通过流行的物联网搜索引擎编入索引。这为恶意行为者提供了一个巨大的攻击面,不仅可以利用内部系统,还可以利用供应链攻击通过,”
萨斯瑙斯卡斯说。
公司调查
该团队在发现泄漏数据库后联系了汤森路透,该公司立即关闭了打开的实例。
“接到通知后,我们立即调查了 Cybernews 提供的关于三台可能配置错误的服务器的调查结果,”汤森路透代表告诉 Cybernews。
据该公司称,其中两台服务器被设计为可公开访问,而第三台是非生产服务器,与汤森路透的产品 ONESOURCE Global Trade Product 相关。该工具允许用户“管理出口/进口、制裁筛选以及其他贸易管制活动和相关文件”。
该公司解释说:“这种非生产服务器仅包含来自该产品的预生产/实施环境的应用程序日志,并且仅与汤森路透全球贸易客户的一小部分相关联。”
非生产服务器通常不保存应用程序数据。但是,这并不意味着存储在那里的细节不那么敏感。
Sasnauskas 说:“开放实例类似于一个开发服务器,它可以由整个基础设施组成,通常包含更敏感的客户端活动和数据。”
Thomson Reuters 表示,现在关闭的服务器仅捕获通过预生产和实施环境中的用户操作生成的数据。
“服务器包含运营支持平台所需的信息,”该公司的代表解释说。
但是,很难判断存储在实例上的所有详细信息是否对于支持平台的操作都是必要的。无论哪种方式,即使所有数据都是必不可少的,但如果泄露,这并不会降低敏感度。
“存储在服务器上的信息非常敏感。此类案例引发了有关企业数据收集实践的问题。至少可以说,如此规模的数据泄漏的后果令人担忧,”Sasnauskas 解释说。
该公司展开了调查,以查明问题的根源。迄今为止的主要理论是“产品环境中的孤立错误导致非生产环境的无意错误配置”。
汤森路透表示,已开始通知受影响的客户。
显着影响
研究人员认为,数据集上的任何信息丢失不仅会损害汤森路透及其客户,还会损害公共利益。
例如,开放数据库泄露了一些个人和组织的敏感筛选和合规数据。来自面向公众的 Thomson Reuters 数据库中的可访问数据可能已经向那些希望将自己的不法行为蒙在鼓里的实体提供了线索。
Cybernews 的信息安全研究员 Martynas Vareikis 表示,威胁参与者可以使用数据集中暴露的电子邮件地址进行网络钓鱼攻击。攻击者可以冒充 Thomson Reuters 并向该公司的客户发送虚假发票。
“存储在服务器上的信息非常敏感。此类案例引发了有关企业数据收集实践的问题。至少可以说,如此规模的数据泄漏的后果令人担忧,”
萨斯瑙斯卡斯解释道。
“拥有更多细节总是有助于恶意行为者。知道受害者是 Thomson Reuters 的客户,就可以开展有针对性的活动。如果 Thomson Reuters 的客户使用非公开的商业电子邮件地址向公司注册,情况尤其如此。感染恶意软件的发票如果受到勒索软件团伙的攻击,可能会给客户造成巨大损失,”Vareikis 解释说。
根据 Sasnauskas 的说法,攻击者可以通过多种方式利用泄露的细节来伤害公司本身。他声称,访问日志文件和实例可能使恶意行为者能够泄露敏感信息、勒索业务,并获得有关内部网络、系统和正在使用的服务的知识。
Sasnauskas 说:“攻击者可以在系统中进行旋转和横向移动,并引发大量恶意行为,例如向经纪人或勒索软件附属机构出售访问权限,并发起复杂的攻击,可能包括勒索软件。”
为什么会这样?
通过对可访问 Web 服务器的 SSL(安全套接字层)证书、DNS(域名系统)数据以及 ElasticSearch 实例本身的信息进行彻底检查,该团队可以确认开放数据库属于 Thomson Reuters Corporation。自 10 月 21 日起,该服务器一直处于可访问状态。
在那天之前,物联网搜索引擎没有显示任何 Thomson Reuters 实例的结果。由于网络空间充满了寻找开放数据库的机器人和脚本,因此以前公众可以访问该数据库是值得怀疑的。
根据 Vareikis 的说法,数据集突然出现在线的最可能原因是配置错误。
“我们认为这是由 AWS Elastic Load Balancing 服务的错误配置引起的,该服务遵循了未配置为完全覆盖访问控制规则的不同规则,导致该服务向公众公开,”Vareikis 解释说。
过去暴露?
汤森路透 去年发布的一份白皮书中规定的安全原则声称,该公司的安全配置是根据最佳实践创建和部署的。
然而,通过挖掘物联网搜索引擎的历史数据,研究人员发现汤森路透的一些配置和系统环境文件在去年被曝光。出现在物联网搜索引擎上的一些文件直到今天仍然暴露在外。
“该非生产服务器仅包含来自该产品的预生产/实施环境的应用程序日志,并且仅与汤森路透全球贸易客户的一小部分相关联,”
该公司解释道。
该公司的安全原则还规定,它执行自动化和集中式日志记录以提供实时警报。但是,公众可以访问开放数据集几天。
“一个开放的服务器只需不到几个小时就可以爬满机器人。同时,数据显示该实例已连续开放三天以上。它引出了一个问题,即如果没有人审查警报,是否需要实时警报,”Vareikis 说。[本文译自:https://securityaffairs.co/wordpress/137718/data-breach/thomson-reuters-database-exposed.html,作者:Vilius Petkauskas]