Pelaku ancaman siber dilaporkan mengeksploitasi aplikasi web yang sengaja dibuat rentan untuk pelatihan keamanan dan internal penetration testing—seperti DVWA, OWASP Juice Shop, Hackazon, dan bWAPP—guna menembus lingkungan cloud milik perusahaan Fortune 500 dan vendor keamanan. Temuan ini menunjukkan bahwa alat uji yang salah konfigurasi dapat menjadi pintu masuk berisiko tinggi bila terpapar ke internet publik.
Investigasi dari perusahaan automated penetration testing Pentera menemukan bukti eksploitasi aktif terhadap aplikasi uji tersebut. Para penyerang memanfaatkan eksposur ini untuk menanam crypto miner, memasang webshell, serta melakukan lateral movement ke sistem sensitif—bahkan dari akun cloud dengan hak istimewa tinggi.
Ribuan Aplikasi Uji Terbuka di Cloud Publik
Pentera mengidentifikasi 1.926 aplikasi uji yang aktif dan rentan, terpapar di web publik, dan sering kali terikat pada peran IAM yang terlalu permisif. Aplikasi-aplikasi ini ditemukan berjalan di lingkungan AWS, GCP, dan Azure. Karena memang dirancang rentan, keberadaannya di internet—terlebih dijalankan dari akun cloud berhak tinggi—menjadi risiko kompromi serius.
Lebih jauh, banyak instance tersebut melanggar prinsip least privilege dan, dalam lebih dari separuh kasus, masih menggunakan kredensial default, sehingga pengambilalihan menjadi sangat mudah.
Akses Luas ke Aset Cloud Kritis
Kredensial yang terekspos memungkinkan penyerang memperoleh akses luas, termasuk:
- Akses penuh ke S3, GCS, dan Azure Blob Storage
- Hak baca/tulis ke Secrets Manager
- Interaksi dengan container registry
- Akses admin ke lingkungan cloud
Pentera menyatakan bahwa beberapa aplikasi yang terekspos dimiliki oleh perusahaan Fortune 500, termasuk Cloudflare, F5, dan Palo Alto Networks. Ketiga perusahaan tersebut telah menerima temuan dan melakukan perbaikan.
Eksploitasi Aktif di Dunia Nyata
Risiko ini bukan sekadar teoretis. Pentera mengonfirmasi adanya eksploitasi aktif di lapangan. Pada sekitar 20% dari 616 instance DVWA yang dianalisis, peneliti menemukan artefak berbahaya—termasuk crypto miner XMRig yang menambang Monero (XMR) secara diam-diam.
Peneliti juga menemukan mekanisme persistence canggih melalui skrip watchdog.sh yang akan memulihkan diri jika dihapus, mengunduh ulang XMRig, serta menonaktifkan miner pesaing. Selain itu, ada kasus pemasangan PHP webshell filemanager.php dengan kredensial hardcoded dan kemampuan eksekusi perintah, indikasi kontrol jarak jauh yang berkelanjutan.
Rekomendasi Mitigasi
Pentera merekomendasikan langkah-langkah berikut untuk menutup celah serangan:
- Inventarisasi menyeluruh seluruh sumber daya cloud, termasuk aplikasi uji
- Isolasi ketat lingkungan non-produksi dari produksi
- Terapkan least-privilege IAM untuk sistem non-produksi
- Ganti kredensial default dan tetapkan masa berlaku otomatis untuk ресурс sementara
- Audit berkala eksposur publik dan secret sprawl
Laporan Pentera merinci metode penemuan, pemetaan kepemilikan, serta teknik yang digunakan untuk mengidentifikasi dan memverifikasi kompromi—menjadi peringatan keras bahwa alat uji keamanan yang salah tempat dapat berbalik menjadi senjata bagi penyerang.