Aqua araştırmacıları, altı Amazon Web Servisi’nde (AWS) kritik güvenlik açıkları tespit etti: CloudFormation, Glue, EMR, SageMaker, ServiceCatalog ve CodeStar.
Bu güvenlik açıkları ciddiyet açısından çeşitlilik gösteriyordu ve potansiyel olarak uzaktan kod yürütmeye, tam hizmet kullanıcı devralmaya, AI modül manipülasyonuna, veri ifşasına, veri sızdırmaya ve hizmet reddi (DoS) saldırılarına izin veriyordu. Güvenlik açıkları, bu hizmetleri küresel olarak kullanan herhangi bir kuruluşu etkileyebilirdi.
Araştırmada iki önemli saldırı vektörünün tanıtılması:Gölge Kaynak” Ve “Kova Tekel” teknikleri.
Bu vektörler, açık kullanıcı talimatları olmadan oluşturulan S3 kovaları gibi otomatik olarak oluşturulan AWS kaynaklarını kullanır. Saldırganlar, kod yürütmek, veri çalmak veya kullanıcı hesaplarını ele geçirmek için bu vektörleri kullanabilir.
Keşif ve Azaltma Zaman Çizelgesi:
- 16 Şubat 2024:CloudFormation, Glue, EMR, SageMaker ve CodeStar’daki güvenlik açıkları AWS’ye bildirildi.
- 18 Şubat 2024: ServiceCatalog’da bir güvenlik açığı bildirildi.
- 16-25 Mart 2024: AWS, CloudFormation, EMR, Glue ve SageMaker’daki güvenlik açıklarına yönelik düzeltmeleri doğruladı.
- 30 Nisan 2024:Bir raporda, CloudFormation düzeltmesinin kullanıcıları bir DoS saldırısına karşı savunmasız bıraktığı belirtildi.
- 7 Mayıs 2024: AWS, CloudFormation sorununa yönelik bir düzeltme üzerinde çalıştıklarını duyurdu.
- 26 Haziran 2024: AWS, ServiceCatalog ve CloudFormation güvenlik açıkları için düzeltmeleri doğruladı.
- Ağustos 2024:Araştırma Black Hat USA ve DEF CON 32’de sunuldu.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download
Teknik Detaylar
Gölge kaynaklar, genellikle kullanıcı farkında olmadan AWS hizmetleri tarafından otomatik olarak oluşturulur. Örneğin, CloudFormation yeni bir yığın oluştururken öngörülebilir bir adlandırma düzenine sahip bir S3 kovası oluşturur.
Her bir servis için kısa güvenlik açığı detayları tek satırda şöyle:
- Bulut Oluşumu: Bir saldırganın kod yürütmesine, verileri değiştirmesine veya çalmasına ve öngörülebilir bir S3 kovası adı talep ederek kurbanın hesabı üzerinde tam kontrole sahip olmasına olanak tanır.
- Zamk: Bir saldırganın kurbanın Glue işine kod enjekte etmesini sağlayarak uzaktan kod yürütme (RCE) ve kurbanın hesabının potansiyel olarak ele geçirilmesini sağlar.
- EMR: Verilen metinde belirtilmemiş ancak güvenlik açığı bulunan servislerden biri olarak belirtilmiştir.
- Adaçayı üreticisi: Verilen metinde belirtilmemiş ancak güvenlik açığı bulunan servislerden biri olarak belirtilmiştir.
- ServisKatalogu: Verilen metinde belirtilmemiş ancak güvenlik açığı bulunan servislerden biri olarak belirtilmiştir.
- Kod Yıldızı: Hizmetin Temmuz 2024’te kullanımdan kaldırılması planlandığından, yeni müşterilerin artık proje oluşturmasına izin verilmediğinden bu sorun giderildi.
Aqua araştırmasına göre saldırganlar, kullanılmayan bölgelerde önceden veri kovaları oluşturarak bunu istismar edebilir ve bu da potansiyel veri manipülasyonuna veya hesap ele geçirilmesine yol açabilir.
Bu teknik, öngörülebilir bir S3 kovası deseni için talep edilmemiş tüm olası bölgeleri talep etmeyi içerir ve bir kurbanın bu kovalarla etkileşimlerini engelleme olasılığını artırır. Bu, hesabın tamamen tehlikeye atılması gibi ciddi sonuçlara yol açabilir.
AWS, bildirilen güvenlik açıklarına derhal yanıt vererek saldırganların bu vektörleri istismar etmesini önlemek için düzeltmeler uyguladı. Örneğin, AWS artık bir kova zaten mevcutsa kova adlarına rastgele diziler ekliyor veya kullanıcılardan yeni bir ad seçmelerini istiyor. CodeStar’ın sorunu, hizmetin Temmuz 2024’te kullanımdan kaldırılması planlandığı için giderildi.
AWS Glue Güvenlik Açığı Uzaktan Kod Çalıştırılmasına İzin Veriyor
Araştırmacılar, ETL süreçlerini otomatikleştirmek için kullanılan bir hizmet olan AWS Glue’da kritik bir güvenlik açığı keşfettiler. Bir kullanıcı Visual ETL aracını kullanarak bir iş oluşturduğunda, Glue işlerini, özellikle de Glue tarafından yürütülen Python betiklerini depolamak için otomatik olarak bir S3 kovası oluşturulur.
Kovanın adı tahmin edilebilirdir, sabit bir önek ve ardından hesap kimliği ve bölge gelir. AWS hesap kimliğini bilen bir saldırgan bu kovayı herhangi bir bölgede oluşturabilir ve kurbanın Glue ETL’sini kullanmasını bekleyebilir, bu da kurbanın Glue hizmetinin saldırgan tarafından kontrol edilen kovaya dosya yazmasına neden olur.
Bu güvenlik açığından yararlanmak için saldırganın öngörülebilir S3 kovasını ele geçirmesi, izin verici kaynak tabanlı bir politika tanımlaması ve kovaya genel erişime izin vermesi gerekir.
Ayrıca, kovaya bırakılan herhangi bir dosyaya kod enjekte eden bir Lambda işlevi tanımlamaları gerekir. Bu güvenlik açığı, bir saldırganın kurbanın Glue işine herhangi bir kod enjekte etmesine izin verir ve bu da uzaktan kod yürütme (RCE) ile sonuçlanır.
Bazı senaryolarda, kurbanın Glue işine verdiği role bağlı olarak, kurbanın hesabında başka kaynaklar veya saldırgan tarafından üstlenilebilecek bir yönetici rolü oluşturmak da mümkündür.
Azaltma
- Kapsamlı Politikaları Uygula: Kullanın
aws:ResourceAccountKaynaklarınıza yalnızca güvenilir hesapların erişebilmesini sağlamak için politikalarda koşul belirleyin. - Kova Sahipliğini Doğrulayın:Hesabınıza ait olduklarından emin olmak için öngörülebilir kalıpları kullanarak S3 kovalarının sahipliğini düzenli olarak kontrol edin.
- Benzersiz Kova Adlandırması: Öngörülebilir kova adlarından kaçının; bunun yerine her bölge ve hesap için benzersiz karma değerler veya rastgele tanımlayıcılar kullanın.
AWS etkilenen hizmetlerdeki güvenlik açıklarını azaltmış olsa da, diğer AWS hizmetlerinde veya açık kaynaklı projelerde benzer saldırı vektörleri hala mevcut olabilir. Kuruluşlar bu tür tehditlere karşı korunmak için en iyi uygulamaları takip etmeli ve önerilen azaltmaları uygulamalıdır.
Are you from SOC/DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access