Bir güvenlik araştırmacısı, AWS’nin yönetim konsolundaki belgelenmemiş bir API’nin, saldırganların tespit edilemez bir gözetleme kanalına izin vermiş olabileceğini söyledi.
AWS, Mart 2022’de Datadog tarafından uyarıldıktan sonra sorunu Ekim 2022’de sessizce düzeltti.
API’yi keşfeden Datadog araştırmacıları, API’nin AWS CloudTrail günlüğünü atlayabileceğini fark etti.
Burada belgelenen API, belirli kimlik ve erişim yönetimi (IAM) isteklerinin günlüğe kaydedilmeyeceği anlamına gelir.
Datadog’un kıdemli güvenlik araştırmacısı Nick Frichette, “Bu teknik, bir saldırganın bir AWS hesabında yer edindikten sonra, CloudTrail’de eylemlerine dair herhangi bir iz bırakmadan IAM hizmetinde keşif faaliyetleri gerçekleştirmesine olanak tanıyacaktır” diye yazdı.
Datadog, AWS Management Console’da gezinirken tarayıcı geliştiricilerin araçlarındaki bağlantı isteklerini izleyerek “iamadmin” adlı API’yi keşfetti.
Oradan, araştırmacılar iamadmin ile başlatabilecekleri 13 yöntem keşfettiler ve grup politikalarını ve kullanıcı sayılarını listelemelerine, kullanıcıları listelemelerine ve daha fazlasına olanak sağladılar.
Frichette’in gönderisinde, “CloudTrail günlük kaydını atlayabilmenin ve bu aramaların sonuçlarını alabilmenin, savunucular için ciddi sonuçları var, çünkü bu, bir rakibin bir ortamda ne yaptığını ve hangi eylemleri gerçekleştirdiğini izleme yeteneklerini sınırlıyor” diyor.
“Ayrıca bu teknik, GuardDuty’yi IAMUser/AnomalousBehavior gibi bulgular için atlamayı da mümkün kılıyor çünkü GuardDuty, CloudTrail’i veri kaynağı olarak kullanıyor ve göremediği bir şey hakkında uyarı veremiyor.”