AWS je otklonio ranjivost koja se mogla iskoristiti za zaobilaženje provjere S3 permisija u okviru Trusted Advisor-a.
AWS Trusted Advisor je dizajniran da analizira okruženja korisnika i pruži preporuke za unapređenje u oblastima kao što su troškovi, performanse i bezbjednost. Više bezbjednosnih provjera unutar Trusted Advisor-a dostupno je besplatno, uključujući postavke bezbjednosnih grupa, IAM korisnički pristup, višefaktorsku autentifikaciju i S3 bucket permisije.
Provjera S3 permisija upozorava korisnike kada njihovi bucket-i imaju otvoren pristup ili dozvoljavaju pristup bilo kojem autentifikovanom AWS korisniku.
Istraživači iz Fog Security-ja otkrili su da napadač može prevariti Trusted Advisor da ne upozori korisnike na javne bucket-e tako što će postaviti bucket politike da odbijaju ‘s3:GetBucketAcl’, ‘s3:GetPublicAccessBlock’ ili ‘s3:GetBucketPolicyStatus’ akcije.
Nakon što se zaobiđe Trusted Advisor-ova S3 bezbjednosna provjera, istraživači su pokazali kako bi napadač mogao konfigurisati bucket sa javnim i anonimnim permisijama putem bucket politika i ACL-ova, čime bi omogućio izvlačenje podataka bez pokretanja alarma.
Važno je napomenuti da bi napadač morao prvo dobiti pristup ciljnom AWS okruženju prije nego što bi mogao sprovesti ove radnje.
Fog Security je prijavio svoja otkrića AWS-u početkom maja, a sveobuhvatna zakrpa je uvedena krajem juna — nepotpuna zakrpa bila je primijenjena još krajem maja.
AWS je obavijestio korisnike o problemu i uputio ih na dokumentaciju koja objašnjava S3 permisije i blokiranje javnog pristupa S3 skladištu.
„Kao bezbjednosnu najbolju praksu, preporučujemo korisnicima da pregledaju svoje S3 permisije i osiguraju da su u skladu s njihovim bezbjednosnim zahtjevima,“ rekao je portparol AWS-a za SecurityWeek. „Kada S3 politike spriječe Trusted Advisor da izvrši određene akcije […], korisnici bi trebalo da očekuju ‘Warn’ status u Trusted Advisor provjeri. Ranije, ti bucket-i su bili pogrešno prikazani kao ignorisani i potencijalno su imali netačne indikatore statusa za javne postavke pristupa.“
Izvor: SecurityWeek
