Istraživači iz Aqua-a su identifikovali kritične propuste u šest Amazon Web Services (AWS): CloudFormation, Glue, EMR, SageMaker, ServiceCatalog i CodeStar.
Ove ranjivosti su varirale po ozbiljnosti, potencijalno omogućavajući daljinsko izvršavanje koda, preuzimanje kompletne usluge korisnika, manipulaciju AI modulom, izloženost podacima, eksfiltraciju podataka i napade uskraćivanja usluge (DoS). Ranjivosti su mogle uticati na bilo koju organizaciju koja koristi ove usluge na globalnom nivou.
Istraživanje je uvelo dva značajna vektora napada: tehnike “ Resursa sjene ” i “ Monopola u kanti ”.
Ovi vektori iskorištavaju automatski generirane AWS resurse, kao što su S3 buckets, kreirane bez eksplicitnih korisničkih instrukcija. Napadači bi mogli iskoristiti ove vektore za izvršavanje koda, krađu podataka ili preuzimanje korisničkih računa.
Vremenski okvir otkrivanja i ublažavanja:
- 16. februar 2024 .: AWS-u su prijavljene ranjivosti u CloudFormation, Glue, EMR, SageMaker i CodeStar.
- 18. februar 2024 .: Prijavljena je ranjivost u ServiceCatalogu.
- 16-25. mart 2024 : AWS je potvrdio ispravke za ranjivosti u CloudFormation, EMR, Glue i SageMaker.
- 30. april 2024 : Izvještaj je ukazao da je popravka CloudFormation-a ostavila korisnike ranjivim na DoS napad.
- 7. maj 2024 .: AWS je objavio da radi na rješavanju problema CloudFormation.
- 26. jun 2024 .: AWS je potvrdio popravke za ServiceCatalog i CloudFormation ranjivosti.
- Avgust 2024 : Istraživanje je predstavljeno na Black Hat USA i DEF CON 32.
Tehnički detalji
AWS usluge automatski generišu resurse u sjeni , često bez svijesti korisnika. Na primjer, CloudFormation kreira S3 bucket s predvidljivim uzorkom imenovanja prilikom kreiranja novog steka.
Evo kratkih detalja o ranjivosti za svaku uslugu u jednom redu:
- CloudFormation : Dozvoljava napadaču da izvrši kod, manipuliše ili ukrade podatke i dobije potpunu kontrolu nad nalogom žrtve traženjem predvidljivog naziva S3 bucketa.
- Glue : Omogućava napadaču da ubaci kod u Glue posao žrtve, što rezultira daljinskim izvršavanjem koda (RCE) i potencijalnim preuzimanjem naloga žrtve.
- EMR : Nije navedeno u datom tekstu, ali se spominje kao jedna od ranjivih usluga.
- SageMaker : Nije navedeno u datom tekstu, ali se spominje kao jedna od ranjivih usluga.
- ServiceCatalog : Nije navedeno u datom tekstu, ali se spominje kao jedna od ranjivih usluga.
- CodeStar : Smatra se adresiranim jer novim korisnicima više nije dozvoljeno da kreiraju projekte, jer se usluga planira zastarjeti u julu 2024.
Prema istraživanju Aqua-e , napadači bi to mogli iskoristiti tako što bi preventivno kreirali kante u neiskorištenim regijama, što bi dovelo do potencijalne manipulacije podacima ili preuzimanja računa.
Ova tehnika uključuje traženje svih mogućih nepotraženih regiona za predvidljiv S3 obrazac bucket-a, povećavajući vjerovatnoću presretanja interakcije žrtve sa ovim korpama. To bi moglo dovesti do ozbiljnih posljedica, kao što je potpuna kompromitacija računa.
AWS je odmah odgovorio na prijavljene ranjivosti, implementirajući popravke kako bi spriječio napadače da iskoriste ove vektore. Na primjer, AWS sada dodaje nasumične sekvence u nazive segmenta ako segment već postoji ili traži od korisnika da odaberu novo ime. CodeStar-ov problem je riješen jer se usluga planira zastarjeti u julu 2024.
AWS Glue ranjivost omogućava daljinsko izvršavanje koda
Istraživači su otkrili kritičnu ranjivost u AWS Glueu, usluzi koja se koristi za automatizaciju ETL procesa. Kada korisnik kreira posao koristeći Visual ETL alat, S3 bucket se automatski kreira za pohranjivanje Glue poslova, prvenstveno Python skripti koje izvršava Glue.
Naziv segmenta je predvidljiv, sa konstantnim prefiksom iza kojeg slijede ID računa i region. Napadač koji zna ID AWS naloga može kreirati ovu kantu u bilo kojoj regiji i čekati da žrtva koristi Glue ETL, što će uzrokovati da žrtvin Glue servis upiše datoteke u košaricu koju kontrolira napadač.
Da bi iskoristio ovu ranjivost, napadač mora zatražiti predvidljivu S3 kantu, definirati dopuštenu politiku zasnovanu na resursima i dozvoliti javni pristup kutiji.
Oni bi također trebali definirati Lambda funkciju koja ubacuje kod u bilo koju datoteku koja se ispušta u kantu. Ova ranjivost omogućava napadaču da ubaci bilo koji kod u žrtvin Glue posao, što rezultira daljinskim izvršavanjem koda (RCE).
U nekim scenarijima, također je moguće kreirati druge resurse na nalogu žrtve ili ulogu administratora koju bi napadač mogao preuzeti, ovisno o ulozi koju je žrtva dodijelila Glue poslu.
Ublažavanje
- Implementirajte politike opsega : Koristite
aws:ResourceAccountuvjet u politikama kako biste osigurali da samo pouzdani nalozi mogu pristupiti vašim resursima. - Potvrdite vlasništvo nad košarama : Redovno provjeravajte vlasništvo nad S3 segmentima koristeći predvidljive obrasce kako biste bili sigurni da pripadaju vašem računu.
- Jedinstveno imenovanje bucketa : Izbjegavajte predvidljiva imena kantica; umjesto toga, koristite jedinstvene hešove ili nasumične identifikatore za svaki region i račun.
Iako je AWS ublažio ranjivosti u pogođenim uslugama, slični vektori napada mogu i dalje postojati u drugim AWS uslugama ili projektima otvorenog koda. Organizacije bi trebale slijediti najbolje prakse i implementirati preporučene mjere ublažavanja kako bi se zaštitile od takvih prijetnji.
Izvor: CyberSecurityNews