AWS ortamlarını ve API çağrılarını kurcalayan tehdit aktörleri radarın altında kalabilir
Amazon Web Services (AWS), saldırganların CloudTrail API izlemesini atlatmak için yararlanabilecekleri bir baypas hatasını yamaladı.
Datadog Security Labs kıdemli araştırmacısı Nick Frichette, 17 Ocak tarihli bir blog yazısında, güvenlik açığının, API etkinliklerini inceleyen savunucular için bir veri kaynağı olan CloudTrail olay günlüğü hizmetini etkilediğini söyledi.
Olay günlüğü çözümleri, savunucular için şüpheli etkinlikleri tespit etmede ve bir güvenlik olayını takiben adli tıp çalışması gerçekleştirmede çok önemli olabilir.
Web güvenlik açıkları hakkında en son haberlerin devamını okuyun
CloudTrail, API kullanımının yanı sıra AWS ortam olaylarını izler ve günlüğe kaydeder. Bununla birlikte, Datadog Güvenlik Araştırma Ekibine göre, günlük sistemlerini atlamak için bir teknik vardı ve tehdit aktörlerinin IAM hizmetinde tespit edilmeden keşif faaliyetleri gerçekleştirmesine olanak tanıyordu.
Ekip, AWS Konsolunda istekleri alan iki hizmeti ve hizmetini test etti. Datadog, iamadmin’in belgelenmemiş bir API olduğunu ve – bir sarmal için – gibi uç noktaları çağırırken CloudTrail’de olay günlüğü olmayacağını buldu.
Ekip, bazıları beklenmedik davranışlar oluştursa da çağrılabilecek 13 AIM yöntemi buldu.
Frichette, “Bu teknikle bir süre oynadıktan sonra, bunun amaçlanan işlevsellik olmadığı anlaşıldı,” yorumunu yaptı.
“CloudTrail günlük kaydını atlayabilmek ve bu çağrıların sonuçlarını alabilmek, savunucular için ciddi sonuçlar doğuruyor çünkü bir rakibin bir ortamda ne yaptığını ve hangi eylemleri gerçekleştirdiğini takip etme yeteneklerini sınırlıyor.”
Ayrıca araştırmacı, veri kaynağı olarak CloudTrail kullanıldığından, aynı tekniğin Amazon’un GuardDuty’sini atlamayı mümkün kılabileceğini söyledi.
yankılar
Saldırganlar, açıktan yararlanarak keşif faaliyetleri gerçekleştirebilir. Ile konuşmak günlük yudumFrichette, iamadmin hizmeti IAM API çağrılarını başlattığında, örneğin bir saldırganın “bir IAM kullanıcısının parçası olduğu grupları döndürmek” için tetikleyebileceğini açıkladı.
Ayrıca “, özellikle ayrıcalıklı grupları ortaya çıkarabilecek bir IAM grubuyla ilişkili IAM politikalarının ne olduğunu döndürür. [and] bir IAM kullanıcısının bir MFA’sı varsa geri döner [multi-factor authentication] hesaplarına bağlı cihaz (gelecekteki hedefleri seçmek için kullanışlıdır)”.
Bir AWS sözcüsü, güvenlik açığının varlığını doğruladı. Ancak, salt okunur API’lerin hala müşteri tabanlı kimlik doğrulama ve yetkilendirme kuralları uyguladığına dikkat edilmelidir.
Datadog, “Güvenliği ihlal edilen varlık, bu eylemleri başlatmak için yeterli ayrıcalıklara sahip olmalıdır, ancak bu güvenlik açığı ile bu eylemleri tamamen tespit edilmeden gerçekleştirebilirler” dedi.
ifşa
Araştırmacılar sorunu 10 Mart 2022’de AWS’ye bildirdi. Amazon’un güvenlik ekibi aynı gün raporu onayladı. Yine de, hatayı düzeltmek için gereken dahili değişikliklerin karmaşıklığı nedeniyle, bir düzeltme için Ekim ayına kadar geçilmedi.
24 Ekim’de AWS, iamadmin API çağrılarını iam hizmetiyle aynı şekilde CloudTrail’de olaylar oluşturmak için güncelleyen bir düzeltme yayınladı.
Bir AWS sözcüsü, etkilenen API yöntemlerinin güncellendiğini ve müşterinin herhangi bir işlem yapmasına gerek olmadığını onayladı.
Frichette, “Bu tür güvenlik açıkları yaygın değildir” diyor. “Bildiğim kadarıyla, bir saldırganın normalde günlüğe kaydedilecek olan AWS API eylemleri için günlüğe kaydetmeyi atlamasına izin veren, genel olarak bilinen başka bir güvenlik açığı yok.”
ÖNERİLEN Güvenilir olmayan web sitelerinde kimlik bilgilerini otomatik olarak dolduran popüler şifre yöneticileri