【安全资讯】黑客利用安全测试应用漏洞入侵财富500强企业云环境

概要：

网络安全领域再现高危攻击路径，威胁行为体正将矛头对准企业用于内部安全培训与渗透测试的Web应用程序。这些本意为暴露漏洞而设计的应用，如DVWA、OWASP Juice Shop等，一旦错误配置并暴露于公网，便成为黑客入侵财富500强企业及安全厂商云环境的跳板。自动化渗透测试公司Pentera的调查揭示了这一现实威胁，攻击者已借此部署加密货币挖矿程序、植入Webshell并横向移动至敏感系统。

主要内容：

Pentera的研究发现，共有1,926个存活的、存在漏洞的测试应用暴露在公共互联网上。这些应用通常部署在AWS、GCP和Azure云环境中，并与权限过大的IAM角色相关联。许多实例暴露了云凭证集，未遵循“最小权限”原则，且超过半数仍在使用默认凭据，使得攻击者能够轻易接管。

调查证实，攻击者已开始积极利用这些入口点。在发现的616个DVWA实例中，约20%包含了攻击者部署的恶意组件。攻击活动包括使用XMRig工具在后台挖掘门罗币，以及部署名为“filemanager.php”的PHP webshell，该shell支持文件操作和命令执行，并包含硬编码的认证凭据。

攻击者还使用了名为“watchdog.sh”的脚本实现高级持久化。该脚本具备自我恢复能力，若被删除，会从base64编码的备份中还原自身，并重新从GitHub下载XMRig挖矿程序。此外，它还会从Dropbox下载使用AES-256加密的额外工具，并清除受害主机上存在的其他竞争性挖矿程序。

受影响的知名公司包括Cloudflare、F5和Palo Alto Networks，它们在收到研究人员的通知后已修复相关问题。此事件凸显了企业对非生产系统资产管理、权限隔离和凭证管理的严重疏忽，导致了严重的云安全风险。