沙特阿拉伯工業與礦產資源部（MIM）的環境文件遭到暴露，時間長達15個月

沙特工業和礦產資源部系統的環境文件在公網暴露，其中包含郵件憑據、數據庫憑據、加密配置等關鍵信息，如遭攻擊者利用，可被用于在已進入內網后竊取所有數據。

沙特阿拉伯工業與礦產資源部（MIM）的環境文件遭到暴露，敏感細節可隨意獲取。研究團隊認為，這些敏感數據曾處于可隨意訪問的暴露狀態時間長達15個月。

環境（env.）文件作為計算機程序的一組指令，是各類系統的關鍵組成部分。這些文件如果對任何人開放訪問，會暴露關鍵數據，為威脅行為者提供各種攻擊選項。

暴露的MIM環境文件現在已經停止訪問。然而，攻擊者可以利用已經泄露的信息在部門系統內實現橫向移動，甚至完成接管帳號、勒索軟件攻擊等各類高級攻擊。

MIM是沙特阿拉伯負責工業和礦產資源運營的政府機構，成立于2019年，旨在讓沙特經濟擺脫對石油和天然氣的依賴。沙特是最早響應、支持和參與共建“一帶一路”的國家之一。

研究團隊表示，環境文件在2022年3月首次被物聯網搜索引擎索引，這意味著數據至少暴露了15個月。該文件目前已關閉，公眾無法繼續訪問。

研究人員表示，“網絡犯罪分子可能利用泄露的憑據獲取政府系統的初始訪問權，并發起勒索軟件攻擊。他們可能會加密關鍵政府數據，要求支付贖金才能交還數據，否則將公開泄露敏感信息。”

MIM的哪些數據暴露了？

暴露的環境文件泄露了多種類型數據庫憑據、郵件憑據和數據加密密鑰。比如，研究人員發現了暴露的SMTP（郵件協議）憑據。

研究人員表示，“擁有政府SMTP憑據的攻擊者，可以冒充政府官員或員工進行社交工程攻擊。他們可能會欺騙受害者透露其他敏感信息，實施欺詐行為，或獲取對其他系統或資源的訪問權。”

環境文件中還包含了Laravel APPKey。APPKey是用于加密的配置設置，可以用來保護會話數據和Cookies。利用暴露的APP_Key，攻擊者能夠解密敏感信息，破壞數據的保密性。

研究團隊還發現了MySQL和Redis數據庫的憑據。各大組織使用MySQL數據庫存儲、管理和檢索數據，利用Redis對應用程序進行實時分析和消息傳遞。

研究團隊表示，這兩個數據庫僅在本地網絡上可用。這意味著，如果攻擊者已經在MIM的系統中建立了立足點，就可以利用這些泄露的憑據。

一旦擁有政府數據庫的憑據，攻擊者就能夠暴露敏感的政府信息、機密文件、個人可識別信息（PII）或其他保密記錄。

泄露數據樣本

Cybernews已經聯系MIM征求評論，但在本文發布之前未收到回復。

安全防范建議

泄露上述信息將帶來深遠而廣泛的影響，因為攻擊者可以發動帳號接管攻擊。利用泄露的憑據，惡意行為者能夠未經授權地訪問政府電子郵件帳號和數據庫系統，藉此劫持通信、篡改數據、發送惡意電子郵件，或獲取對其他系統或資源的進一步訪問權限。

研究團隊稱，泄露的數據庫憑據會帶來數據泄露和外泄等真實風險，因為攻擊者可以利用泄露的憑據訪問基于政府的系統。

研究人員表示，“可能被竊取的數據包括公民的個人可識別信息（PII）、機密信息、財務記錄或其他敏感的政府數據。竊取的數據可用于身份盜用、勒索或在黑市上出售。”

為了避免類似問題，建議組織采取以下措施：