安全研究人员警告说,黑客可以滥用在线编程学习平台来远程发起网络攻击、窃取数据并扫描易受攻击的设备,只需使用网络浏览器。
至少有一个这样的平台,称为 DataCamp,允许威胁参与者编译恶意工具、托管或分发恶意软件,并连接到外部服务。
DataCamp 为近 1000 万想要使用各种编程语言和技术(R、Python、Shell、Excel、Git、SQL)学习数据科学的用户提供集成开发环境 (IDE)。
作为平台的一部分,DataCamp 用户可以访问他们自己的个人工作区,其中包括一个用于练习和执行自定义代码、上传文件和连接到数据库的 IDE。
IDE 还允许用户导入 Python 库、下载和编译存储库,然后执行编译的程序。换句话说,任何一个勤奋的威胁参与者都需要直接从 DataCamp 平台内发起远程攻击。
DataCamp Python 编译器中的端口扫描器
DataCamp 被滥用
在对威胁参与者可能使用 DataCamp 的资源隐藏攻击来源的事件做出响应后,网络安全公司 Profero 的研究人员决定调查这种情况。
他们发现 DataCamp 的高级在线 Python IDE 为用户提供了安装第三方模块的能力,这些模块允许连接到 Amazon S3 存储桶。
Profero 的首席执行官 Omri Segev Moyal 在 与 BleepingComputer 分享的一份报告 中表示,他们在 DataCamp 平台上尝试了这种场景,并且能够访问 S3 存储桶并将所有文件泄露到平台网站上的工作空间环境中。
通过 DataCamp 从 S3 存储桶导入文件
研究人员表示,来自 DataCamp 的活动很可能会在未被发现的情况下通过,“即使是那些进一步检查连接的人也会陷入死胡同,因为没有已知的明确来源列出 Datacamp 的 IP 范围。”
对这种攻击场景的调查更进一步,研究人员试图导入或安装通常用于网络攻击的工具,例如 Nmap 网络映射工具。
无法直接安装 Nmap,但 DataCamp 允许编译它并从编译目录执行二进制文件。
Nmap 在 DataCamp 上运行
Profero 的事件响应团队还测试了他们是否可以使用终端上传文件并获取共享文件的链接。他们能够上传 EICAR - 用于测试防病毒解决方案检测的标准文件,并获得分发它的链接。
EICAR 文件上传到 DataCamp
Profero 今天的报告指出,下载链接可用于通过简单的 Web 请求将其他恶意软件下载到受感染的系统。
此外,这些下载链接可能会在其他类型的攻击中被滥用,例如托管恶意软件以进行网络钓鱼攻击,或通过恶意软件下载其他有效负载。
固有风险
BleepingComputer 联系 DataCamp 就 Profero 的研究发表评论,一位发言人表示,“存在某些人可能试图滥用我们的系统的内在风险”,因为该平台提供了“实时计算环境”。
DataCamp 在其服务条款中声明禁止滥用平台,但威胁行为者不是遵守规则的用户。
DataCamp 表示,他们“已采取合理措施”来防止滥用行为影响平台上的其他用户,并且他们正在监控他们的系统是否存在不当行为。
“此外,为了防止个人渎职,我们实施了负责任的披露政策,并持续监控我们的系统以降低风险” - DataCamp
可能在其他平台上滥用
尽管 Profero 没有将他们的研究扩展到其他学习平台,但研究人员认为,DataCamp 并不是黑客可以滥用的唯一平台。
另一个提供终端的平台是 Binder ,这 是一个在由志愿者管理的开放基础设施上运行的项目 。该服务使托管在其他基础设施(GitHub、GitLab)上的存储库可供用户通过浏览器使用。
该项目的一位代表告诉 BleepingComputer,他们部署的 BinderHub 实例“实施了多项保护措施,以限制其在攻击链中的使用方式”。
这些限制适用于可以使用的资源、带宽和阻止潜在的恶意应用程序。
Binder 代表表示,如果 Profero 的报告显示有必要采取进一步措施,他们愿意在 BinderHub 源代码中添加更多保护措施。
Profero 鼓励在线代码学习平台的提供商保留一份传出客户流量网关的列表,并使其公开访问,以便防御者可以找到攻击的起源,如果是这样的话。
该公司的建议还包括为用户提供一种安全且简单的方式来提交滥用报告。