SEGA Europe Analyseert Cloud Security Grondig Na Kwetsbaarheid

Logo van SEGA op gebouw

Beveiligingsonderzoeker Aaron Phillips heeft samengewerkt met cybersecurity professionals van SEGA Europe om gevoelige bestanden te beveiligen die per vergissing waren opgeslagen in een publiekelijk toegankelijke Amazon Web Services (AWS) S3 bucket. Bij nadere inspectie bleken de interne cloudbeveiligingsinstellingen ontoereikend, waardoor bezoekers en medewerkers van SEGA-domeinen blootgesteld hadden kunnen worden aan digitale dreigingen als malware en ransomware.

De gezamenlijke inspanningen van de beveiligingsonderzoekers hebben ervoor gezorgd dat er geen kwaad is geschied en dat SEGA haar beveiligingsmaatregelen naar een hoger niveau heeft kunnen tillen. Mogelijke kwetsbaarheden zijn inmiddels gedicht en mensen lopen geen verhoogd risico meer bij het bezoeken van de websites en fora van hun favoriete SEGA-games.

Bij dergelijke kwetsbaarheden is voorlichting en kennisdeling cruciaal. Organisaties kunnen lering trekken uit elkaars case studies en ervaringen, wat hen in staat stelt om zichzelf én hun gebruikers beter te beschermen. Daarbij is het vele malen wenselijker dat een kwetsbaarheid wordt ontdekt en op verantwoordelijke wijze wordt gedeeld door een beveiligingsonderzoeker dan door een hacker met criminele intenties.

Belangrijkste bevindingen

Er werden meerdere sets AWS-sleutels gevonden in de aangedane Amazon bucket, waarmee het onder meer mogelijk was scripts te draaien en bestanden te uploaden naar domeinen van SEGA Europe. Hierdoor waren de websites van verschillende populaire games en de CDN (Content Delivery Network)-diensten van SEGA vatbaar voor de distributie van malware.

Ook lukte het de onderzoekers om verschillende API-keys in handen te krijgen, waarmee verdere privilige escalation mogelijk was. Met deze uitgebreide rechten had het team rechtstreeks toegang tot verschillende clouddiensten van SEGA Europe. Ook vonden de onderzoekers geldige API-sleutels voor Mailchimp en Steam, waardoor ze deze diensten uit naam van SEGA konden gebruiken.

Infographic met uitleg SEGA kwetsbaarheden

SEGA slaat ook gebruikersgegevens van zo’n 250.000 gebruikers van het community forum van SEGA’s Football Manager-spel op in Amazon buckets. Het is van cruciaal belang dat deze gegevens zorgvuldig en veilig bewaard worden. Er zijn geen aanwijzingen dat kwaadwillende partijen zich toegang hebben verschaft tot de sensitieve data of een van de kwetsbaarheden hebben misbruikt voordat beveiligingsonderzoekers de kwetsbaarheden dichtten.

SEGA Europe cloudsecurity kwetsbaarheden

Bij het onderzoek wisten de onderzoekers toegang te verkrijgen tot de volgende onderdelen van SEGA Europe:

ToegangImpact
Steam developer-sleutelGemiddeld
Database wachtwoord en RSA-sleutelsErnstig
Persoonsgegevens en forumwachtwoordenErnstig
MailChimp API-sleutelKritiek
Amazon Web Services credentialsKritiek

De gevonden sleutels, inloggegevens en wachtwoorden hadden door kwaadwillenden eenvoudig voor kwaadaardige doeleinden gebruikt kunnen worden. Door de toegang tot de clouddiensten van SEGA liep het gehele platform van de verschillende CDNs, partners, forums en populaire games ook gevaar. De onderzoekers hebben alle gevonden informatie, wachtwoorden en access keys overgedragen aan SEGA, waarna zij het lek hebben gedicht en de beveiliging van hun cloudplatform hebben hersteld en verbeterd.

Overname van bekende SEGA-domeinen

De kern van de kwetsbaarheden ligt bij het feit dat belangrijke AWS-credentials per ongeluk voor iedereen toegankelijk waren. De ontdekte AWS-sleutels gaven read- en write-toegang tot de cloudopslag van SEGA Europe. Veel van de getroffen SEGA-sites worden gehost op zogeheten AWS S3 buckets.

S3 buckets worden gebruikt om data op te slaan in de cloud. Elke bucket is als een map op je computer. Deze kan bestanden en submappen bevatten, die worden gebruikt voor het hosten van websites, het bewaren van logs, het bewaren van gegevens voor mobiele apps, en meer. Buckets zijn dus een soort van Zwitsers zakmes voor cloudopslag.

Het was voor de onderzoekers mogelijk om via deze buckets bestanden te uploaden en scripts te laten draaien op officiële SEGA-websites. Daardoor konden  zij bestaande webpagina’s aanpassen of de configuratie van verschillende SEGA Europe-domeinen aanpassen.

Hieronder tref je een overzicht aan van de getroffen domeinen inclusief hun Moz.com Domain Authority-score:

SEGA DomeinenMoz Domain AuthorityImpact
downloads.sega.com83Kritiek
cdn.sega.com83Kritiek
careers.sega.co.uk65Kritiek
influencer.sega.co.uk65Kritiek
cdn.sega.co.uk65Kritiek
bayonetta.com52Kritiek
whatif.humankind.game49Kritiek
makewarnotlove.com51Kritiek
vanquishgame.com46Kritiek
sega.com83Ernstig
forever.sega.com83Ernstig
totalwar.com77Ernstig
footballmanager.com71Ernstig
sonicthehedgehog.com61Ernstig
companyofheroes.com61Ernstig

In totaal bleken 26 publieke domeinen in beheer van SEGA Europe kwetsbaar. Bij de websites waarbij we de kwetsbaarheden als ‘kritiek’ bestempelen was het voor aanvallers mogelijk om het bestanden te uploaden en content aan te passen. Bij de domeinen met ‘ernstige kwetsbaarheden’ was het mogelijk om de CloudFront Distributions te wijzigen.

Toegang tot belangrijke en sterke SEGA-domeinen

Veel van de getroffen domeinen hebben naast de bekendheid onder gamers ook een hoge Domain Authority. Deze websites scoren vaak hoger in de Google zoekresultaten omdat ze als betrouwbare bron bekend staan. Daarnaast zullen gebruikers ook eerder interactie opzoeken met websites die ze vertrouwen.

Zo konden de onderzoekers bijvoorbeeld de content van een betrouwbaar domein als careers.sega.co.uk aanpassen.

SEGA Europe heeft de betreffende domeinen weer onder controle en het is niet meer mogelijk om willekeurige bestanden te uploaden op de sites.

Toegang tot content distributiesysteem

De onderzoekers hadden ook toegang tot drie production content distribution networks (CDNs) van SEGA. Een CDN wordt gebruikt om bestanden en afbeeldingen op te slaan die vervolgens door verschillende domeinen kunnen worden getoond. Hierdoor was het mogelijk om nieuwe bestanden te uploaden en bestaande bestanden te vervangen.

Het komt regelmatig voor dat externe sites linken naar de CDN-locatie van bestanden om officiële afbeeldingen te tonen. Hierdoor lopen er exponentieel meer gebruikers gevaar bij misbruik van een dergelijke kwetsbaarheid. Zo vond men 531 domeinen met links naar de getroffen CDNs.

CDNAantal externe domeinen met linksImpact
downloads.sega.com88Kritiek
cdn.sega.com438Kritiek
cdn.sega.co.uk5Kritiek

Enkele van de domeinen die naar bestanden uit de kwetsbare CDN linken hadden eveneens een hoge Domain Authority. Hadden hypothetische hackers kwaadaardige bestanden verspreid via de CDN van SEGA Europe, dan waren ook bezoekers van de volgende domeinen kwetsbaar geweest:

Externe DomeinenMoz Domain Authority
eveonline.com (third party)80
somethingawful.com (third party)74
sega.co.uk65
sonicstadium.org (third party)64
sigames.com63
companyofheroes.com61
twcenter.net (third party)61
games2gether.com57

De kwetsbaarheid van de CDN downloads.sega.com in het bijzonder zou voor grote problemen hebben kunnen zorgen. Het zou namelijk niet zomaar opvallen als daar malafide bestanden zouden worden verspreid, omdat deze dienst per definitie bedoeld is om ook *.pdf- of *.exe-bestanden te hosten.

SEGA heeft ook de kwetsbaarheden in de CDN-systemen opgelost, dus aanvalsmethoden gericht op de CDN’s zijn niet meer mogelijk.

Toegang tot de SEGA-cloud

De onderzoekers waren in staat toegang te verkrijgen tot de volgende onderdelen van de SEGA-cloudinfrastructuur:

DienstAantal getroffen cloudonderdelen
S3 storage buckets147
Cloudfront distributions24
EC2 Servers27
SNS Notification Topics20

Met de verkregen AWS-credentials was het mogelijk om SEGA’s cloudomgeving te scannen op verdere toegang. Als eindresultaat hebben de onderzoekers een lijst samengesteld met alle cloud-elementen waar ze toegang tot verkregen. De samengestelde lijst is overgedragen aan het SEGA Europe cybersecurityteam.

Toegang tot SNS notification queues

Naast de reeds benoemde onderdelen van de cloud had men ook toegang tot de Amazon Simple Notification Service (SNS) queues en de subscribers van deze lijst. Amazon SNS stuurt email alerts naar de relevante IT-medewerkers van SEGA Europe, bijvoorbeeld server alerts naar de administrator die verantwoordelijk is voor die server.

Met toegang tot deze queue zou een aanvaller kwaadaardige SNS-alerts kunnen maken. Het team vond de volgende high-impact SNS queue die een aanvaller als doelwit zou kunnen gebruiken:

Screenshts toegang SNS queues

Daarnaast gaf dit datalek ook toegang tot de mailadressen van acht SEGA-engineers en twee interne mail relays. Een hacker zou deze informatie kunnen gebruiken om nog bredere toegang tot de SEGA-cloud los te peuteren.

SEGA heeft onze melding opgepakt en de SNS queues nu beveiligd.

Toegang tot de Steam API

In sommige van de S3 buckets vond men ook API-keys terug, waaronder een key voor de Steam Partner API. Dit bleek bruikbare Steam developer key die toegang verleende tot de SEGA Steam Partner API.

Screenshot van onze toegang tot de Steam Partner API van SEGA

SEGA heeft de gelekte API-key inmiddels ingetrokken.

Gelekte RSA-keys

Naast de Steam-key vonden de onderzoekers ook twee sets Private RSA-keys van SEGA Europe. Private RSA-keys worden gebruikt voor de authenticatie van SSH-certificaten. De keys werden gevonden tussen de bestanden van serverafbeeldingen die via de cloud beschikbaar waren. Nog een andere set bevatte verlopen RSA-keys. SEGA heeft de keys die nog wel actief waren ingetrokken.

Toegang tot de SEGA MailChimp e-maildienst

Tot slot wisten de onderzoekers een Mailchimp API-key te vinden waarmee ze mails konden versturen vanuit het mailadres [email protected]. SEGA gebruikt dit adres om officiële mails te versturen naar Football Manager-spelers en -gebruikers.

Het was voor de onderozekers mogelijk om officiële mailtemplates te wijzigen en zelf nieuwe templates te creëren. Mocht iemand schade willen aanrichten, dan is een frauduleuze e-mail van dit account zeer moeilijk te herkennen voor de ontvanger. Alles wijst er namelijk op dat het een officiële, legitieme e-mail is.

Naast [email protected] waren er geen andere e-mailadressen die door de onderzoekers overgenomen konden worden. Daarnaast heeft SEGA het gebruik van deze key tijdens het onderzoek al gedetecteerd en de toegang geblokkeerd.

Tijdlijn

Hier volgt een tijdlijn van de kwetsbaarheidsanalyse bij SEGA Europe:

GebeurtenisDatum
Exploratie van een publiek toegankelijke S3 bucket met daarop facturen op naam van SEGA Amusements Intl.18 oktober 2021
Ontdekking van de SQL-backup en nginx.img18 oktober 2021
Beveiligingsonderzoekers hebben hun eerste bevindingen gecommuniceerd richting SEGA18 oktober 2021
AWS-credentials en RSA-keys gevonden19 oktober 2021
Toegang verkregen tot AWS S3 Buckets19 oktober 2021
www.bayonetta.com kon aangepast en overgenomen worden21 oktober 2021
sgaas-service.img, een database wachtwoord en additionele AWS-credentials gevonden22-24 oktober 2021
Toegang verkregen tot: AWS Cloudfront distributions en AWS EC2 instances25-26 oktober 2021
Steam Developer-key en MailChimp-key gevonden26 oktober 2021
Toegang verkregen tot het e-mailaccount [email protected]27 oktober 2021
Tweede kennisgeving en update richting SEGA28 oktober 2021
Het SEGA Europe cybersecurityteam hebben bevestigd dat de kwetsbaarheden verholpen zijn28 oktober 2021

SEGA heeft ons ook gewezen op hun Hacker One-pagina waar onderzoekers snel een reactie krijgen wanneer zij een lek constateren bij SEGA Group.

Conclusie

Dit lek bij SEGA Europe onderstreept het belang van sandboxing bij cloud opslag. Ten eerste moeten de private cloud en de public cloud strikt van elkaar gescheiden blijven. De credentials zijn in dit geval per vergissing op de public cloud terecht gekomen, waar onbevoegden deze in theorie konden vinden en misbruiken.

Ten tweede zou ook de opslag binnen de private cloud via sandboxing gesegmenteerd moeten worden. In dit geval kon men de SEGA cloud eenvoudig doorzoeken en in kaart brengen. Tot slot zou het niet zo moeten zijn dat er een universele bucket key bestaat, waarmee een aanvaller dus eenvoudig toegang heeft tot alle buckets.

Er zijn geen aanwijzingen dat er andere partijen met kwade intenties op de hoogte zijn geweest van dit lek voordat het beveiligingsteam het in kaart bracht. Dit lek is dan voor zover bekend ook niet actief misbruikt. Nadat er contact is geweest heeft het cybersecurityteam van SEGA het lek op een snelle en professionele wijze gedicht.

Het onderzoek toont aan hoe een enkele misconfiguratie de digitale infrastructuur van zelfs de grootste bedrijven in gevaar kan brengen. Andere organisaties zouden de bevindingen dan ook als wake-up call moeten zien en hun digitale infrastructuur en beveiligingsmaatregelen voortdurend moeten monitoren en verbeteren. We hopen dat anderen SEGA als voorbeeld nemen wat betreft het aanpakken van gerapporteerde kwetsbaarheden voordat ze kunnen worden misbruikt door cybercriminelen.

Organisaties die Amazon’s cloud services gebruiken, kunnen deze handleidingen van Amazon zelf raadplegen voor good practices.

Cybersecurity onderzoeker
Aaron Phillips is een programmeur en cyberbeveiligingsprofessional die werkt vanuit Seattle, met 20 jaar ervaring in de tech-industrie.
Plaats een reactie
Een reactie plaatsen