Bilgisayar korsanları, dünya çapındaki kuruluşlara ait hassas veriler, iş uygulamaları ve bulut kaynakları da dahil olmak üzere çok sayıda yüksek değerli hedefe ev sahipliği yapan AWS’ye saldırıyor.
Şubat 2024’te altı AWS hizmetinin bazı kritik güvenlik açıklarına sahip olduğu bulundu. Hizmetler arasında CloudFormation, Glue, EMR, SageMaker, ServiceCatalog ve CodeStar yer alıyor.
Aquasec’teki siber güvenlik analistleri, uzaktan kod çalıştırma, tam hizmet kullanıcı ele geçirme, yapay zeka modülü manipülasyonu, hassas verilerin ifşa edilmesi, veri sızdırılması ve hizmet reddi gibi bu güvenlik açıklarıyla ilişkili ciddi tehlikeler tespit etti.
Belirlenen en büyük güvenlik açıkları arasında “Gölge Kaynak” saldırı vektörü ve “Kova Tekel” tekniği yer alıyor.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
AWS, kendilerine bildirildiği anda sorunları düzeltti, ancak benzer kusurların başka durumlarda veya hizmetlerde de mevcut olabileceğinden, kullanıcılara önerilen hafifletme önlemlerini uygulamaları konusunda tavsiyede bulundu.
AWS Hizmetleri Güvenlik Açığı
AWS CloudFormation tarafından şablonları depolamak için S3 kovalarının otomatik olarak oluşturulması, bilinen bir terminoloji olan “cf-templates-[12 char hash]-[region]”.
Bu desen bölge adı haricinde bölgeler arasında tutarlıdır.
Bu durumun saldırganların, kurbanın gelecekte Bulut oluşumunu nasıl kullanacağını tahmin edip kullanılmayan bölgelerde eşleşen isimlerle kovalar oluşturması için bir fırsat yarattığı açıktır.
Kullanıcılar bu bölgelerde bulut oluşturma işlemini başlatırsa, farkında olmadan saldırganlara ait olanlarla etkileşime girebilir ve sonuç olarak kod yürütme, veri manipülasyonu veya hesap ele geçirme risklerine maruz kalabilirler.
Bu güvenlik açığı, CloudFormation’ın “gölge kaynak” olması nedeniyle CloudFormation’ın ötesinde çok sayıda AWS hizmetini etkiliyor.
Bu durum, küresel olarak kullanılan kova adlarının benzersiz olması ve bazı kullanıcıların otomatik olarak oluşturulan kaynaklardan haberdar olmamasıyla ilgilidir; bu da AWS’nin mimarisi üzerinde temel bir güvenlik endişesi ortaya çıkarmaktadır.
Aşağıda tespit edilen tüm güvenlik açıklarından bahsettik:
- AWS CloudFormation Güvenlik Açığı: “cf-templates-{Hash}-{Region}”
- AWS Glue Güvenlik Açığı: “aws-glue-assets-{Hesap-Kimliği}-{Bölge}”
- AWS EMR Güvenlik Açığı: “aws-emr-studio-{Hesap-Kimliği}-{Bölge}”
- AWS SageMaker Güvenlik Açığı: “sagemaker-{Region}-{Account-ID}”
- AWS CodeStar Güvenlik Açığı: “aws-codestar-{Bölge}-{Hesap-Kimliği}”
- AWS Hizmet Kataloğu Güvenlik Açığı: “cf-templates-{Hash}-{Region}”
AWS kaynak dağıtımını destekleyen çok sayıda açık kaynaklı proje de benzer “gölge kaynak” güvenlik açıklarına karşı savunmasızdır.
Bunlar bazen projelerin hesap numaraları veya diğer benzersiz tanımlayıcılar gibi öngörülebilir adlara sahip S3 kovaları ürettiğinde görülebilir.
Bu öngörülebilirlik, saldırganın isimlendirme kalıplarını tespit edebildiği, benzersiz kimlikleri keşfedebildiği ve önceden çok bölgeli kovalar oluşturabildiği Kova Monopoli olarak bilinen saldırı türünü mümkün kılar.
Araştırmacı ayrıca Amazon Web Services (AWS) Hesap Kimliğinin gizli tutulması, kaynakların tam olarak güvence altına alınması ve bulut tabanlı kaynakların etkin bir şekilde yönetilmesi konusunda duyarlılık oluşturulması gerektiğinin altını çiziyor.
Azaltma önlemleri
Aşağıda tüm hafifletme önlemlerinden bahsettik:
- ‘aws:ResourceAccount’ Koşulunu uygulayın.
- Beklenen kova sahibini doğrulayın.
- S3 Kovalarına İsim Verme.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access