Siber güvenlik araştırmacıları, saldırganların ayrıcalıkları yükseltmesi, diğer AWS hizmetlerini manipüle etmeleri ve bazı durumlarda AWS hesaplarını tamamen tehlikeye atabilecek riskli varsayılan kimlik ve erişim yönetimi (IAM) rolleri keşfettiler.
Aqua araştırmacıları Yakir Kadkoda ve Ofek Itach bir analizde, “Genellikle otomatik olarak oluşturulan veya kurulum sırasında önerilen bu roller, tam S3 erişimi gibi aşırı geniş izinler veriyor.” Dedi. “Bu varsayılan roller, ayrıcalık artışına, hizmetler arası erişim ve hatta potansiyel hesap uzlaşmasına izin veren saldırı yollarını sessizce tanıtıyor.”
Bulut güvenlik firması, Sagemaker, Glue, EMR ve Lightsail gibi AWS hizmetleri tarafından oluşturulan varsayılan IAM rollerinde güvenlik sorunlarını belirlediğini söyledi. Benzer bir kusur, Amazons3fullaccess politikasıyla otomatik olarak varsayılan bir IAM rolü (Ray-Autoscaler-V1) oluşturan Ray adlı popüler bir açık kaynak çerçevesinde de ortaya çıkarıldı.
Bu IAM rolleriyle ilgili olan şey, belirli bir şey için tasarlanırken, idari eylemler gerçekleştirmek ve hizmetler arasında izolasyon sınırlarını kırmak için istismar edilebilecekleri ve çevrede bir dayanağı olan bir saldırganın hizmetler arasında yanal olarak hareket etmesine izin vermesidir.
Bu saldırılar, bir tehdit oyuncusunun kullanılmayan AWS bölgelerinde kovalar kurmak için öngörülebilir S3 kova adlandırma modellerinden yararlanabileceği ve meşru bir müşteri bulut formasyonu, tutkal, EMR, sagemaker, servicalalog gibi hizmetleri kullanmaya başladığında öngörülebilir S3 kova adlandırma modellerinden yararlanabileceği bir senaryo etrafında dönen kova tekel saldırılarının ötesine geçer.
Araştırmacılar, “Bu durumda, Amazons3fullaccess ile varsayılan bir hizmet rolüne erişen bir saldırganın kova adlarını uzaktan tahmin etmesi bile gerekmiyor.”
“Mevcut ayrıcalıklarını, adlandırma modellerini kullanarak diğer hizmetler tarafından kullanılan kovaları aramak için kullanabilir, CloudFormation şablonları, EMR komut dosyaları ve Sagemaker kaynakları gibi varlıkları değiştirebilir ve aynı AWS hesabındaki hizmetler arasında yanal olarak hareket edebilirler.”
Farklı bir şekilde, Amazons3fullaccess izinleri olan bir AWS hesabı içindeki bir IAM rolü, her S3 kovasına okuma/yazma erişimini ve çeşitli AWS hizmetlerini değiştirir ve rolü yanal hareket ve ayrıcalık artışı için güçlü bir yönteme dönüştürür.
İzinli politikaya sahip tanımlanan hizmetlerden bazıları aşağıda listelenmiştir –
- AmazonSagemaker-ExececutionRole adlı varsayılan bir yürütme rolü oluşturan Amazon Sagemaker AI-
Amazons3fullaccess’e eşdeğer özel bir politika ile birlikte gelen bir sagemaker alanı kurarken - Amazons3fullaccess Politikası ile varsayılan bir AWSGlueserviCerole rolü oluşturan AWS Glue
- Amazon Emr, varsayılan bir Amazonemrstudio_runtimerole_ oluşturan
Amazons3fullaccess politikasına atanan rol
Varsayımsal bir saldırı senaryosunda, bir tehdit oyuncusu, sagemaker’a ithal edildiğinde, daha sonra yapıştırıcı işinin IAM kimliklerini çalabilecek bir arka kapı kapasitesine enjekte edilerek, tutkal gibi diğer AWS hizmetlerinin kontrolünü ele geçirebilecek olan rastgele kodun yürütülmesine neden olabilecek bir kötü niyetli makine öğrenme modeli yükleyebilir.
Düşman daha sonra, CloudFormation tarafından kullanılan kovaları arayarak ve ayrıcalıkları daha da yükseltmek için kötü niyetli bir şablon enjekte ederek tüm AWS ortamını ihlal ederek hesap içindeki ayrıcalıklarını artırabilir.
Açıklamaya yanıt olarak AWS, varsayılan hizmet rolleri için Amazons3fullaccess politikasını değiştirerek sorunları ele almıştır.
Araştırmacılar, “Varsayılan hizmet rolleri sıkıca kapsamlanmalı ve kesinlikle ihtiyaç duydukları belirli kaynaklar ve eylemlerle sınırlı olmalıdır.” Dedi. “Kuruluşlar, varsayılan yapılandırmalara güvenmek yerine riski en aza indirmek için mevcut rolleri proaktif olarak denetlemeli ve güncellemelidir.”
Bulgular, Varonis’in Microsoft Azure AI ve yüksek performanslı bilgi işlem (HPC) iş yükleri üzerinde önceden yüklenen Azure depolama alanını monte etmek için kullanılan bir yardımcı programda bir güvenlik açığı detaylandırdığı ve bu yardımcı programda kurulan bir Linux makinesinde müstehcensiz bir kullanıcıya, ayrıcalıklarını kökten yükseltmek için izin verdiği gibi geliyor.
Güvenlik araştırmacısı Tal Peleg, “Azure depolama hesabı NFS uç noktalarını monte etmek için bir hizmet olan AZNFS-Mount’un kurulumunun bir parçası olan bir SUID ikili içeren klasik bir ayrıcalık yükseltme yöntemi içeriyor.” Dedi.
“Örneğin, bir kullanıcı, ek Azure depolama kaplarını monte etmek, makineye kötü amaçlı yazılım veya fidye yazılımı takmak ve ağda veya bulut ortamlarında yanal olarak hareket etmek için bu izinleri kullanabilir ve bu izinleri kullanabilir.”
Yardımcı programın tüm sürümlerini 2.0.10’a kadar etkileyen kusur, 30 Ocak 2025’te yayınlanan 2.0.11 sürümünde ele alınmıştır.