Black Hat USA 2024, kritik AWS güvenlik açıkları açığa çıktıkça tüm hızıyla devam ediyor! Saldırganların CloudFormation, Glue, EMR, SageMaker, Service Catalog ve CodeStar’daki hesapların kontrolünü ele geçirmek için “gölge kaynakları” nasıl kullanabileceklerini öğrenin. Araştırma, benzersiz bir “Kova Tekelciliği” tekniğini ortaya koyuyor.
Bulut güvenlik firması Aqua Security’nin araştırma ekibi Nautilus, Şubat 2024’te altı Amazon Web Services (AWS) teklifinde bir dizi kritik güvenlik açığı ortaya çıkardı. CloudFormation, Glue, EMR, SageMaker, ServiceCatalog ve CodeStar dahil olmak üzere AWS hizmetlerinde bu güvenlik açıkları vardı.
Black Hat USA 2024’te Baş Güvenlik Araştırmacısı Yakir Kadkoda ve Kıdemli Güvenlik Araştırmacısı Ofek Itach tarafından sunulan araştırma, “gölge kaynaklar” kavramına odaklandı. Bunlar, belirli AWS servisleri kurulurken perde arkasında otomatik olarak oluşturulan kaynaklardır.
Bu tür gölge kaynaklardan biri, bir bilgisayardaki dosya klasörlerine benzer bir bulut depolama kabı olan ve görüntüleri, videoları ve diğer verileri depolamak için kullanılan S3 kovasıdır. Araştırmacılar, bu kovalar için adlandırma kuralının öngörülebilir olduğunu ve saldırganların potansiyel olarak adlarını tahmin etmelerine veya keşfetmelerine olanak sağladığını keşfettiler.
Şirketin blog yazısına göre, bu hizmetleri yeni bir bölgede oluştururken, hizmet kimliği ve bölge adına bölünmüş bir adla otomatik olarak bir S3 kovası oluşturulur. Saldırganlar, “Kova Tekelciliği” adı verilen bir yöntem kullanarak kovaların adlarını keşfedebilir veya adın tahmin edilebilir kısımlarını tahmin edebilir.
Bucket Monopoly, saldırganların AWS’de talep edilmemiş S3 kovalarını “kapmalarına” olanak tanır. Bir AWS hesap kimliği, kova sahipliğini gösterebilen GitHub’da bol miktarda bulunan bir kaynaktır. Saldırganlar, bu kovaları tüm mevcut bölgelerde önceden oluşturabilir ve kovada kötü amaçlı kod depolayabilir.
Hedeflenen kuruluş hizmeti yeni bir bölgede etkinleştirdiğinde, kötü amaçlı kod farkında olmadan yürütülebilir ve bu da saldırganlara kontrol yetkisi veren bir yönetici kullanıcısının oluşturulmasına yol açabilir.
Bu, saldırganların AWS hesaplarının tam kontrolünü ele geçirmesine, hassas verileri çalmasına veya AWS üzerindeki önemli S3 kovalarının oluşturulmadan önce sahipliğini iddia ederek kritik operasyonları aksatmasına olanak tanıyacaktır.
Araştırmacılar, “Güvenlik açıkları, hesabın tamamının ele geçirilmesine yol açabilecek uzaktan kod çalıştırmadan, hassas verilerin ifşa edilmesine veya hizmet reddi durumuna neden olabilecek bilgi ifşasına kadar uzanıyor” dedi.
İyi haber şu ki Aqua Security bu güvenlik açıklarını AWS’ye sorumlu bir şekilde ifşa etti ve AWS de bunları yamalarla derhal ele aldı. Geçmişteki güvenlik açıklarını kontrol etme yöntemi ve hizmet içi API çağrılarını keşfetmek için açık kaynaklı bir araç da dahil olmak üzere araştırmanın tüm ayrıntıları Aqua Security tarafından DEF CON konferansının ardından yayınlanacak.
Bu araştırma, hem bulut sağlayıcıları hem de kullanıcılar için güvenlik uygulamalarını sürekli olarak iyileştirmeleri ve sürekli gelişen bulut ekosistemi içinde yeni saldırı vektörlerini keşfetmeleri konusunda değerli bir hatırlatma görevi görüyor.
İLGİLİ KONULAR
- Phishing 3.0: Dolandırıcılar Aldatıcı E-posta Kampanyalarında AWS’yi Kullanıyor
- “LeakyCLI” Güvenlik Açığı AWS ve Google Cloud Kimlik Bilgilerini Sızdırıyor
- Suçlu Fikri Mülkiyet: AWS Pazar Entegrasyonu ile Güvenlik Çözümlerinin Geliştirilmesi
- Siber Güvenlik Şirketi Kendini Hackledi, DNS Açığını Buldu ve AWS Kimlik Bilgilerini Sızdırdı
- Telegram, AWS ve Alibaba Cloud Kullanıcılarını Hedef Alan Tedarik Zinciri Saldırısı