AWS CDK Güvenlik Açıkları Saldırganların AWS Hesaplarına Yönetici Erişimi Kazanmasına Olanak Sağlıyor


AWS CDK Güvenlik Açıkları Saldırganların AWS Hesaplarına Yönetici Erişimi Kazanmasına Olanak Sağlıyor

Aquasec’in güvenlik araştırmacıları yakın zamanda AWS Cloud Development Kit’te (CDK) saldırganların hedeflenen AWS hesaplarına tam yönetim erişimi elde etmesine olanak verebilecek kritik bir güvenlik açığı keşfetti.

Haziran 2024’te AWS’ye bildirilen sorun, v2.148.1 veya önceki sürümünü kullanan CDK kullanıcılarını etkiliyor.

Hizmet Olarak SIEM

Güvenlik açığı, önyükleme işlemi sırasında kaynak oluştururken AWS CDK tarafından kullanılan öngörülebilir adlandırma kuralından kaynaklanmaktadır.

Varsayılan olarak CDK, modeli izleyen bir ada sahip bir S3 klasörü oluşturur cdk-hnb659fds-assets-{account-ID}-{Region}.

Kullanıcı önyükleme sonrasında bu paketi silerse, saldırgan kendi hesabında aynı adda bir paket oluşturarak paketi talep edebilir.

Free Webinar on Protecting Websites & APIs From Cyber Attacks -> Join Here

Kurban kaçtığındacdk deployCDK örnekleri saldırgan tarafından kontrol edilen gruba güvenecek ve CloudFormation şablonlarını buraya yazacaktır.

Saldırgan daha sonra bu şablonları değiştirerek üstlenebilecekleri yönetici rolü gibi kötü amaçlı kaynakları enjekte edebilir.

AWS CDK Saldırı Zinciri
AWS CDK Saldırı Zinciri | Kaynak: Aquasec

Kurbanın CloudFormation hizmeti varsayılan olarak yönetim ayrıcalıklarına sahip kaynakları dağıttığından, arka kapılı şablon kurbanın hesabında çalıştırılarak saldırgana tam kontrol sağlanır.

38.000’den fazla tanınmış hesap kimliğini kapsayan araştırma, CDK kullanıcılarının yaklaşık %1’inin bu saldırı vektörüne karşı duyarlı olduğunu ortaya çıkardı.

CDK’nın yüklü olduğu belirlenen 782 hesaptan 81’i (%10) eksik hazırlama paketleri nedeniyle saldırıya açık durumdaydı.

AWS, CDK v2.149.0 sürümünden başlayarak düzeltmeler yayımladı ve rollerin yalnızca kullanıcı hesabındaki paketlere güvenmesini sağlayacak koşullar ekledi.

Ancak eski sürümleri kullananların, sürümü yükseltip yeniden çalıştırarak harekete geçmeleri gerekir. cdk bootstrap emretmek.

Güvenlik uzmanları, AWS hesap kimliklerinin hassas bilgiler olarak ele alınmasını, güvenilir kaynaklara erişimi kısıtlamak için IAM politikalarındaki koşulların kullanılmasını ve tahmin edilebilir S3 klasör adlarından kaçınılmasını önermektedir.

Bu keşif, AWS CDK gibi bulut altyapısı araçlarını kullanırken en son güvenlik yamalarıyla güncel kalmanın ve en iyi uygulamaları takip etmenin önemini vurguluyor.

Daha fazla kuruluş Kod Olarak Altyapı (IaC) uygulamalarını benimsedikçe, maliyetli ihlallere yol açabilecek potansiyel güvenlik açıklarına karşı tetikte olmak büyük önem taşıyor.

Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here



Source link