Saldırganlar, bulutta barındırılan bir veritabanının tam kontrolünü ele geçirebilir
Güvenlik araştırmacılarının bulgularına göre, Amazon Web Services (AWS) AppSync’teki bir güvenlik açığı, AWS kaynaklarına yetkisiz çapraz hesap erişimi sağladı.
AppSync, geliştiricilerin sunucusuz GraphQL ve Pub/Sub API’leri oluşturmasını sağlayan bir hizmettir. AppSync ile GraphQL API oluştururken, geliştiricilerin Lambda işlevleri, DynamoDB, RDS ve harici API’ler gibi API’nin etkileşime gireceği verileri depolayan veya bu verilere erişimi olan veri kaynağını belirtmesi gerekir.
AppSync’i Kandırmak
AppSync’in özelliklerinden biri, Amazon S3 gibi AWS API’lerini doğrudan çağırmasıdır. Bunu yapmak için geliştiricinin hedef kaynağa erişimi olan bir rol oluşturması gerekir. Ardından geliştirici, AppSync’in bu rolü üstlenmesine izin veren bir JSON belgesi olan bir “güven ilkesi” oluşturur.
DataDog Security Labs’deki araştırmacılar, güven ilkesini kullanarak AppSync’i kandırarak diğer AWS hesaplarına yetkisiz erişim sağlayıp sağlayamayacaklarını görmek istediler.
AWS, AppSync uç noktasının ve hedef kaynağın aynı hesapta olduğundan emin olarak bu tür saldırılara karşı koruma sağlar.
Bu doğrulama, AWS kaynağının benzersiz tanımlayıcısı olan Amazon Kaynak Adı (ARN) aracılığıyla gerçekleştirilir.
Web güvenlik açıkları hakkında en son haberlerin devamını okuyun
DataDog’daki araştırmacılar, ARN için JSON alanının büyük/küçük harf durumunu değiştirerek ARN doğrulamasını atlayabileceklerini keşfettiler.
Bu, diğer AWS hesaplarına bağlanabilecek AppSync veri kaynakları oluşturmalarını sağladı. Bu boşluğu kullanarak, herhangi bir hesapta AWS AppSync hizmetine güvenen bir rolle ilişkili herhangi bir kaynakla etkileşim kurabilirler.
Bir kavram kanıtlamasında araştırmacılar, bir saldırganın bulutta barındırılan bir veritabanının tam kontrolünü ele geçirmek için güvenlik açığından nasıl yararlanabileceğini gösteriyor.
zor algılama
Saldırı tarafından oluşturulan günlükler, tüm etkinliğin AppSync hizmetinden geldiğini gösterdiğinden, saldırıyı tespit etmek zor olacaktır. Bu nedenle, saldırgan AppSync rolünün ARN’sini ve erişmek istediği kaynakları biliyorsa, günlükler normal etkinliği gösterir.
Ancak, normal koşullar altında, saldırganın hedef kaynakları bulmak için bazı kaba kuvvet araştırmaları yapması gerekir, bu da AWS günlüğünde olağandışı sayıda olayla sonuçlanabilir. Yöneticiler, bir AWS kaynağına ilk kez erişen bir AppSync hizmeti gibi anormal davranışları arayarak da saldırıları tespit edebilir.
Amazon, Eylül ayında AppSync’teki güvenlik açığını yamalarken, araştırma blog yazısı bu hafta yayınlandı. Şirkete göre, güvenlik açığının vahşi ortamda istismar edildiğine dair hiçbir belirti yoktu.
“[We] bu sorunla ilgili tek etkinliğin araştırmacının sahip olduğu hesaplar arasında olduğunu kesin olarak belirlemiştir. Başka hiçbir müşteri hesabı etkilenmedi, ”dedi Amazon yaptığı açıklamada.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR F5, BIG-IP, BIG-IQ cihazlarında yüksek önem dereceli RCE hatasını düzeltir