Non-production environment exposed on the internet
Use tool sublist3r to list subdomains and try to access these environments.
Segmentation between environments
Use Burp Suite and navigate in the application. Check:
- If some APIs from production are called from non-production
- If there are links (URL) in non-production that are from production
Production data in non-production environments
Check if production data is in non-production without data masking or anonymization. Non-production environments are often less secured, have less audit logs and other security controls. They also often have new code that can contain new vulnerabilities.
Reporting
CVSS Score: N/A, use “Low” severity.
English
| Title | Non-production environments: production data and segmentation |
| Description | Non-production environments exposed on the internet: Search of subdomains of “<domain>” found non-production environment exposed on the internet. Non-production environments might be interesting for a potential attacker since they might have weaker security controls (e.g. less monitoring, weaker authentication methods, no anti-bruteforce mechanisms, new features containing new vulnerabilities, etc.) and often contain a subset of production data. When it comes to security, the focus is typically on the production environment because it contains the “real” data. Access to these environments should be restricted to appropriate companies and people. Incomplete segmentation between production and non-production environments: The test environment provided for penetration testing is not completely isolated from the production environment. The test environment sometimes calls URLs/APIs from production. A bad segmentation between production and non-production environments can cause problems on production systems (mostly on confidentiality and integrity but could also slow down production network). Production data in non-production environments: When production data is used in non-production environments, it is required to be protected at the same level than the production environment, which can add significantly to the time and expense of testing the system. When it is not possible to use test data, production data should be masked / anonymized. |
| Steps to reproduce | |
| Remediation | Non-production environments exposed on the internet: It is recommended to restrict access to non-production environments to appropriate people by using a whitelist of IPs that must access it. Incomplete segmentation between production and non-production environments: It is recommended to completely isolate production from non-production environments. Verify all links (URLs) in non-production environments and API calls. Production data in non-production environments: It is recommended to generate test data instead of using production data. When it is not possible to use test data, production data should be masked / anonymized. |
| Reference |
French
| Title | Environnements de non-production : données de production et segmentation |
| Description | Environnements de non-production exposés sur internet : La recherche de sous-domaines de “<domaine>” a révélé des environnements de non-production exposés sur internet. Les environnements de non-production peuvent être intéressants pour un attaquant potentiel car les contrôles de sécurité sont souvent moins robustes (ex. : moins de surveillance, des méthodes d’authentification plus faibles, aucun mécanisme “anti-bruteforce”, de nouvelles fonctionnalités contenant de nouvelles vulnérabilités, etc.) et contiennent souvent un sous-ensemble des données de production. En matière de sécurité, l’accent est généralement mis sur l’environnement de production car il contient les données “réelles”. L’accès à ces environnements devrait être restreint aux compagnies et personnes concernées. Segmentation incomplète entre les environnements de production et non-production : L’environnement de test fourni pour les tests de sécurité n’est pas complètement isolé de la production. L’environnement appelle parfois des URLs/APIs de production Une mauvaise séparation entre les environnements de production et non-production peut causer des problèmes sur les systèmes de production (entres autres avec les outils automatisés qui suivent les liens). Données de production dans les environnements de non-production : Lorsque des données de production sont utilisées dans des environnements de non-production, elles doivent être protégées au même niveau que l’environnement de production, ce qui peut augmenter considérablement le temps et les dépenses liés aux tests du système. Lorsqu’il n’est pas possible d’utiliser des données de test, les données de production doivent être masquées / anonymisées. |
| Steps to reproduce | |
| Remediation | Environnements de non-production exposés sur internet : Il est recommandé de restreindre l’accès aux environnements de non-production aux compagnies concernées à l’aide d’une “whitelist” des IPs qui doivent y accéder. Segmentation incomplète entre les environnements de production et non-production : Il est recommandé de séparer complètement les environnements de non-production de ceux de production. Vérifier tous les liens (URLs) en non-production et les appels d’API. Données de production dans les environnements de non-production : Il est recommandé de générer des données de test plutôt que d’utiliser des données de production. Lorsqu’il n’est pas possible d’utiliser des données de test, les données de production doivent être masquées / anonymisées. |
| Reference |