Bulut güvenlik şirketi Lightspin’e göre, Amazon Elastic Container Registry (ECR) Public Gallery’de çok sayıda saldırı düzenlemek için potansiyel olarak kullanılmış olabilecek kritik bir güvenlik açığı ortaya çıktı.
Lightspin’in güvenlik araştırma direktörü Gafnit Amiga, The Hacker News ile paylaşılan bir raporda, “Bu güvenlik açığından yararlanan kötü niyetli bir aktör, Amazon ECR Genel Galerisi’ndeki tüm görüntüleri silebilir veya kötü amaçlı kod eklemek için görüntü içeriklerini güncelleyebilir.”
“Bu kötü amaçlı kod, kullanıcının yerel makinelerinde, Kubernetes kümelerinde veya bulut ortamlarında olsun, görüntüyü çeken ve çalıştıran herhangi bir makinede yürütülür.”
ECR, Amazon Web Services tarafından yönetilen bir kapsayıcı görüntü kayıt hizmetidir ve kullanıcıların kodu Docker görüntüleri olarak paketlemesine ve yapıtları ölçeklenebilir bir şekilde dağıtmasına olanak tanır. ECR’de barındırılan genel depolar, ECR Genel Galerisi adı verilen yerde görüntülenir.
Amazon, belgelerinde “Varsayılan olarak, hesabınız genel kayıt defterinizdeki depolara okuma ve yazma erişimine sahiptir” diyor. “Ancak, IAM kullanıcılarının Amazon ECR API’lerine çağrı yapmak ve görüntüleri havuzlarınıza göndermek için izinlere ihtiyacı var.”
Ancak Lightspin tarafından belirlenen sorun, harici aktörler tarafından belgelenmemiş dahili ECR Genel API’lerinden yararlanarak diğer AWS hesaplarına ait kayıt defterlerindeki ve depolardaki yasal görüntülerin zehirli sürümlerini silmek, güncellemek ve oluşturmak için silah haline getirilebileceği anlamına geliyordu.
Bu, dahili API’lere yönelik istekleri yetkilendirmek ve “DeleteImageForConvergentReplicationInternal” kullanarak görüntüleri silme eylemini etkinleştirmek veya alternatif olarak “PutImageForConvergentReplicationInternal” eylemi aracılığıyla yeni bir görüntü göndermek için Amazon Cognito kullanılarak geçici kimlik bilgileri alınarak elde edilir.
Lightspin, kusuru “derin yazılım tedarik zinciri saldırısı” örneği olarak nitelendirdi.
Amazon o zamandan beri, 16 Kasım 2022’de, sorunun bildirilmesinden sonra 24 saatten kısa bir süre sonra, sorunun ciddiyetinin bir göstergesi olarak, zayıflığı çözmek için bir düzeltme dağıttı. Herhangi bir müşteri işlemi gerekmez.
Amiga, “Bu güvenlik açığı potansiyel olarak hizmet reddine, veri hırsızlığına, yanal harekete, ayrıcalık yükseltmeye, veri imhasına ve yalnızca rakibin kurnazlığı ve hedefleriyle sınırlı olan diğer çok değişkenli saldırı yollarına yol açabilir” dedi.
“Kötü niyetli bir aktör, ECR Kamunun güven modelini kötüye kullanırken popüler görüntüleri zehirleyebilir, çünkü bu görüntüler doğrulanmış gibi görünerek ECR Kamu tedarik zincirini baltalayabilir.”