Les chercheurs de Cybernews ont découvert des erreurs de configuration critiques sur deux sous-domaines de Tencent Cloud.

Elles ont exposé des informations d’identification sensibles et du code source interne pendant des mois, posant des risques pour des millions d’utilisateurs de Tencent Cloud. Tencent Cloud est l’un des plus grands fournisseurs de cloud au monde, au service de plus de 10 millions d’utilisateurs dans les secteurs des jeux, de la finance, des communications et des entreprises.

« S’ils sont trouvés par un acteur malveillant, ces identifiants pourraient permettre un accès complet à l’infrastructure backend ou aux services internes au sein de Tencent Cloud », ont déclaré les chercheurs de Cybernews.

« Lorsque les enjeux concernent les consoles cloud, le code source et l’accès root, il n’y a pas de petite fuite. Tencent Cloud est une plate-forme réputée et techniquement avancée, mais personne n’est à l’abri d’une surveillance opérationnelle, même de base », ont ajouté les chercheurs.

Principaux points à retenir :

• L’un des services concernés était lié à l’équilibreur de charge interne de Tencent, et un autre sous-domaine était un déploiement de JEECG, une plate-forme de développement open source promue par Tencent Cloud.
• Les informations d’identification codées en dur semblaient accorder un accès direct à la console d’administration de Tencent Cloud.
• Les fichiers d’environnement avec les informations d’identification de la console d’administration codées en dur et le répertoire.git sont accessibles au public depuis des mois.
• Les mots de passe exposés étaient également faibles et vulnérables aux attaques par dictionnaire. Ils ont été composés en utilisant le nom de l’entreprise, l’année et quelques symboles.
• Tencent a reconnu qu’il s’agissait d’un « problème connu » et a fermé l’accès.

Importance de la fuite

Un acteur malveillant ayant accès aux fichiers et répertoires mal configurés pourrait potentiellement :

• Bénéficiez d’un accès administratif complet aux systèmes de production
• Falsification des services API internes
• Attacher des charges utiles malveillantes au code frontal approuvé
• Pivotez davantage dans l’infrastructure cloud interne de Tencent
• Ou tout simplement abuser du domaine de confiance de Tencent pour des campagnes de phishing malveillantes

« Nous vivons à une époque où les développeurs sont encouragés à faire aveuglément confiance au cloud. Cette fuite démontre que même des erreurs mineures peuvent se transformer en défaillances à haut risque, créant une chaîne en cascade de vulnérabilités tout au long de la chaîne d’approvisionnement », ont expliqué les chercheurs.

Pour lire l’intégralité de l’étude, veuillez cliquer ici.