Sis güvenlik araştırmacıları, (bulut) S3 depolama kovaları herkese açık olarak maruz kalırsa müşterileri uyarması gereken güvenilir danışman aracı, (bulut) S3 depolama kovaları herkese açık olarak maruz kalırsa, bunları ortaya çıkmadıkları gibi bildirmek için “kandırılabilir”.
S3 Erişim Koruma Mekanizmaları
Amazon S3, depolama kovalarına erişim sağlamak için çeşitli mekanizmalar sağlar:
- IAM kullanıcıları, rolleri ve politikaları: Kullanıcılar, ince taneli izinler kullanarak S3 kaynaklarına kimin erişebileceğini tanımlar
- Kova Politikaları: Kullanıcılar, doğrudan kovaya ekli bir JSON politikası aracılığıyla S3 kovalarına kimlere erişebileceğini tanımlar
- Erişim Kontrol Listeleri (ACL’ler): AWS’nin kova politikalarını kullanma lehine terk edilmiş görmek istediği eski bir yöntem
(AWS ayrıca “Halkın erişimini engelleyin” Özel olmayan kamu erişimini durdurmak için ayarları ACL’leri ve kova politikalarını geçersiz kılabilen özellik. Varsayılan olarak, tüm yeni S3 kovaları tüm kamu erişimini engeller, ancak bazı kullanıcılar, bir S3 kovası kamuya açık içerik sunmak için kamuya açık erişimini devre dışı bırakır.)
(MIS) Güvenilir Danışman
Sis güvenliği araştırmacıları yakın zamanda belirli kova politikalarını değiştirerek S3 kovalarının ve içindeki potansiyel olarak hassas verilerin, güvenilir danışman olmadan kullanıcılara bu durum hakkında bilgi vermeden internetteki herkes için erişilebilir hale getirilebileceğini keşfettiler.
Güvenilir danışman şunları kandırabilir:
- Kamuya açık erişim sağlayacak şekilde S3 kova politikasını veya ACL’yi ayarlamak
- Güvenilir danışmanın kovanın durumunu kontrol etmesini engelleyen herhangi bir inkar politikası eklemek. Özellikle:
- S3’ü Reddet: Getbucket Politika Durumu
- S3’ü inkar: getBucketpublicAccessblock
- S3’ü inkar: getBucketacl
Bunları bir araya getirerek, kova halka açık ve dünyaya açıktır, ancak güvenilir danışman gerçek ortamları “göremez”, böylece bu potansiyel sorunu işaretlemez.
Bu politika değişiklikleri, kötü niyetli içericiler (örneğin hoşnutsuz bir çalışan) veya tehlikeye atılmış AWS kimlik bilgilerini elde eden saldırganlar tarafından yapılabilir ve bu kovaları şüpheleri artırmadan veri söndürme için potansiyel olarak kullanmalarına izin verir, Fog Security kurucusu Jason Kao yardım net güvenliğine verdiği demeçte.
Meşru kullanıcılar ayrıca kova politikalarını yanlış yapılandırabilir veya yanlış uygulayabilir ve istemedikleri zaman kovaları halka açık hale getirebilir ve güvenilir danışmanın güvenlik kontrolleri yaparken bu kamu S3 kovalarını potansiyel olarak güvensiz olarak bildirmesini önleyebilir.
İyi haber şu ki, bu sorunu AWS’ye özel olarak bildirmişler ve Haziran 2025’te şirket bunu çözmek için düzeltmeler uyguladı: Güvenilir Danışman artık doğru durumu gösteriyor ve kullanıcıları bu konuda “uyaracak”.
AWS ayrıca, bunları sorunu ve ilk düzeltmeyi bilgilendirmek için kullanıcılara e -posta gönderdi, ancak Kao, iletişimin sorunun ciddiyetini küçümsediğini düşünüyor.
Test hesabı bir e -posta almadığı için, diğer AWS müşterilerinin iyi olmadığından endişe duyuyor ve yeni bir Amazon S3 kova izinleri başlatmayacaktı, sadece maruz kalan S3 kovalarının bilerek açığa vurmayı seçtikleri olmasını sağlamak için.
Ne yapalım?
Fog Security, AWS S3 kullanıcılarına mümkün olduğunda hem hesap hem de kova düzeyinde AWS blok genel erişim ayarlarını etkinleştirmelerini, IAM politikalarını kullanmaya ve verilerin istenmeyen bir şekilde kamuya açıklanmadığından emin olmak için S3 kovalarını ve konfigürasyonlarını kontrol etmelerini tavsiye eder.
Şirket ayrıca yakın zamanda AWS kullanıcılarının S3 kaynaklarını erişim sorunları için taramasına ve ACL’leri emekliye ayırmalarına yardımcı olabilecek açık kaynaklı bir araç yayınladı.