WatchTowr Labs’taki araştırmacılar, saldırganların küresel yazılım tedarik zincirini ele geçirmesini sağlayabilecek terk edilmiş Amazon Web Hizmetleri (AWS) S3 kovalarında kritik bir güvenlik açığı ortaya çıkardılar.
Araştırma, bu ihmal edilen bulut depolama kaynaklarının büyük ölçekli siber saldırıları nasıl kolaylaştırabileceğini ve potansiyel olarak meşhur Solarwinds ihlalini kapsam ve etkiye göre gölgede bırakabileceğini vurgulamaktadır.
İki aylık bir soruşturma boyunca, Watchtowr daha önce hükümetler, Fortune 500 şirketleri, siber güvenlik firmaları ve büyük açık kaynaklı projeler tarafından kullanılan yaklaşık 150 terk edilmiş S3 kovasını tespit etti.
Terk edilmesine rağmen, bu kovalar hala yazılım güncellemeleri, ikili dosyalar ve diğer kritik kaynaklar için sorgulanıyordu. Araştırmacılar, bu kovaları sadece 420.85 $ karşılığında aynı isimler altında yeniden kaydederek, saldırganların kötü niyetli yükler dağıtmak için bu gözetimden nasıl yararlanabileceğini gösterdiler.
Terk edilmiş AWS S3 kovaları
Güvenlik açığı, AWS S3 kova adlarının küresel olarak benzersiz olma yolundan kaynaklanmaktadır. Bir kova silindikten sonra, adı yeniden kullanım için kullanıma sunulur.
Bir uygulama veya sistem güncellemeler veya kaynaklar için terk edilmiş bir kovaya başvurmaya devam ederse, saldırganlar onu yeniden kaydederek ve kötü niyetli içerik barındırarak kontrolü ele geçirebilir.
Watchtowr, deneyleri sırasında yeniden kaydedilen kovalarda oturum açmayı etkinleştirdi ve hassas ağlardan kaynaklanan sekiz milyondan fazla HTTP talebini gözlemledi.
Bunlar arasında NASA, askeri kuruluşlar, Fortune 100 şirketleri, finans kurumları ve dünya çapında üniversiteler gibi ABD devlet kurumları vardı. Talep edilen kaynaklar imzasız yazılım ikili dosyaları ve sanal makine görüntülerinden JavaScript dosyalarına ve CloudFormation şablonlarına kadar değişiyordu.
Çıkarımlar endişe vericidir. Bir saldırgan bu istekleri geri yüklü yazılım güncellemelerini dağıtmak, fidye yazılımı dağıtmak veya hassas ağlara yetkisiz erişim kazanmak için kullanabilir. Örneğin:
- Kötü niyetli ikili dosyalar uzaktan erişim araçlarını veya fidye yazılımlarını yükleyebilir.
- Tazmin edilmiş CloudFormation şablonları saldırganlara AWS ortamlarına erişim sağlayabilir.
- Backdoured sanal makine görüntüleri kurumsal sistemlere sızabilir.
WatchTowr’ın bulguları, modern yazılım geliştirme ve dağıtım boru hatlarında bulut barındırılan kaynaklara yaygın bir güvenin altını çiziyor. Araştırmacılar, bu terk edilmiş kovaların çoğunun hükümet ve askeri sistemler de dahil olmak üzere kritik altyapının ayrılmaz bir parçası olduğunu belirtti.
Watchtowr raporlarında “İhmal edilen bulut altyapısı hassas ağları yetkisiz erişime karşı savunmasız bırakıyor” dedi. “Yanlış ellerde, bu güvenlik açığı, daha önce gördüğümüz her şeyden çok daha yıkıcı tedarik zinciri saldırılarına yol açabilir.”
Tedarik zinciri saldırıları son yıllarda artan bir endişe haline gelmiştir. Gartner, 2025 yılına kadar kuruluşların yaklaşık% 45’inin bu tür saldırıları yaşayacağını tahmin ediyor – 2021’den bu yana üç kat artış. Bu olaylar, kötü amaçlı yazılım dağıtmak veya hassas verileri çalmak için yazılım tedarik zincirlerindeki zayıf bağlantılardan yararlanıyor.
Örnekler arasında, saldırganların kötü niyetli ikili işler için terk edilmiş bir S3 kovasını kaçırdığı “Bignum” gibi açık kaynaklı paketlerin zehirlenmesi sayılabilir. Bu tür güvenlik açıkları, sadece aktif altyapıyı değil, aynı zamanda emekli veya terk edilmiş kaynakları da güvence altına almanın önemini vurgulamaktadır.
AWS konuyu kabul etti, ancak hizmetlerinin tasarlandığı gibi çalıştığı konusunda ısrar ediyor. Kova sahipliği koşulları gibi önlemler uygularken ve adlandırma sözleşmelerini adlandırma için en iyi uygulamaları teşvik ederken, WatchTowr AWS’nin daha önce kayıtlı kova isimlerinin yeniden kullanılmasını engellemesi gerektiğini savunuyor.
Kuruluşlar riskleri azaltmak için proaktif adımlar atabilir:
- Kullanılmayan varlıkları tanımlamak ve hizmet dışı bırakmak için düzenli bulut kaynakları denetimlerini yapın.
- Tüm aktif kovalar için katı erişim kontrolleri ve günlük kaydı uygulayın.
- Özgünlük sağlamak için yazılım güncellemeleri için dijital imza doğrulaması kullanın.
- Geliştiricileri güvenli kodlama uygulamaları ve bağımlılık yönetimi konusunda eğitin.
WatchTowr raporu, giderek birbirine bağlı bir dünyada terk edilmiş dijital altyapının ortaya koyduğu riskleri hatırlatıyor. Kuruluşlar operasyonları buluta taşımaya devam ettikçe, sadece aktif kaynakları değil, geride kalanları da güvence altına almak için uyanıklık esastır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free