Güvenlik profesyonelleri, AWS kuruluşlarında Cymulate araştırma laboratuvarları tarafından çığır açan bir çalışmada, saldırganların hesaplar arasında geçiş yapmasına, ayrıcalıkları artırmasına ve tüm kuruluşun kontrolünü ele geçirmesine izin verebilecek ciddi güvenlik açıklarını ortaya çıkardılar.
Araştırma, idari görevlerin dağıtılması için en iyi uygulama olarak amaçlanan delegasyon mekanizmalarının, çoklu hesap ortamlarında kalıcılık ve yanal hareket için meşru özelliklerden yararlanmak için rakipler tarafından nasıl silahlandırılabileceğine odaklanmaktadır.
AWS’nin delege edilmiş yöneticileri son derece ayrıcalıklı yönetim hesabına olan güvenini azaltmak için tanıtmasına rağmen, bu kurulumlar uygun şekilde sabitlenmediği takdirde ince saldırı yüzeylerini tanıtmaktadır.
Gizli güvenlik açıklarını ortaya çıkarmak
Örneğin, devredilen bir yönetici hesabından ödün vermek, organizasyon çapında görünürlüğü hesaplara ve OUS’a verir, bu da saldırganların yüksek değerli hedefleri haritalamasına ve gelişmiş artışları planlamasına izin verir.
Çalışma, AWS IAM Kimlik Merkezi (eski adıyla SSO) ve CloudFormation Stacksets gibi hizmetleri özellikle hassas olarak vurgulamaktadır, burada delegasyon kötüye kullanımının izin setlerini değiştirebileceği veya tüm üye hesaplarında kötü amaçlı yığınlar dağıtabileceği ve tanrı benzeri kontrol sağlayarak.
Bulguların merkezinde, Orijinal Amazonguardyfullaccess Yönetilen Politika (Sürüm 1) ‘de daha önce tanımlanamayan aşırı kapsamlı bir izin vardır; bu, yönetim hesabındaki müdürlerin, yetkilendirilmiş yöneticileri sadece koruma değil, desteklenen herhangi bir hizmet için kaydettirmelerine izin vermiştir.
Bu kusur, kısıtlanmamış “kuruluşlar: sicildegatedAdMinistrator” eyleminden kaynaklandı ve yönetim hesabında uzlaşmış bir kimlik bilgisi olan saldırganların IAM Identity Center veya CloudFormation Stacksets gibi hassas hizmetleri kontrollü bir üye hesabına devretmesine izin verdi.
Yüksek etkili bir politika kusuru
Simüle edilmiş bir istismarda, araştırmacılar bir saldırganın bir koruyucu yönetimi rolünden sızdırılmış anahtarlar gibi sınırlı erişimle nasıl başlayabileceğini gösterdiler.
Bu zincir, istifleme setleri aracılığıyla backdoorların dağıtılması veya kalıcılık için kimlik bilgilerinin sıfırlanması da dahil olmak üzere, meşru idari eylemleri taklit ederek algılamadan kaçınabilir.
AWS, delegasyon iznini kesinlikle koruyucu bir şekilde kapsayan AmazonguardDutyfullaccess_v2’yi serbest bırakarak konuyu ele aldı.
Şirket, etkilenen müşterileri e -posta ve sağlık panosu aracılığıyla proaktif olarak bilgilendirerek, iş akışlarını bozmayı önlemek için otomatik yükseltmelerden kaçınıldığından, rolleri ve kullanıcıları V1’den V2’ye manuel olarak güncelleme ihtiyacını vurguladı.
26 Ağustos 2025’ten itibaren, eski politikaya ekler engellenecektir, ancak mevcut olanlar güncellenene kadar aktif kalır.
Rapora göre, Cymule’un ekibi, AWS’nin koordineli açıklama yoluyla işbirlikçi tepkisini övdü ve bulut ekosistemlerini güvence altına almada bu tür ortaklıkların önemini vurguladı.
Bu riskleri azaltmak için, kuruluşların tüm delegasyonları denetlemeleri, delege edilmiş hesapları ve hizmetleri, IAM Kimlik Merkezi delegasyonlarını katı 0 varlıkları olarak katı kontrollerle tedavi eden hassasiyet katmanlarına göre sınıflandırmak için haritalamaya çağırılır.
RegisterDelegatedAdMinistrator gibi olaylar için CloudTrail’in izlenmesi ve kontrollü ortamlardaki saldırı senaryolarını simüle etmek savunmadaki boşlukları ortaya çıkarabilir.
Cymule, delegasyon kötüye kullanımını politika istismarıyla birleştiren bir saldırı simülasyon aracı yayınladı ve ekiplerin tespit etmesini ve optimize etmesini sağladı.
Delegasyon yapılandırmalarını yeniden değerlendirerek ve en az oldukça önemli politikaları uygulayarak AWS kullanıcıları, bu potansiyel zayıflıkları sağlam güvenlik duruşlarına dönüştürebilir ve uyarıcı bir hikayeyi çok hesaplı kurulumlarda gelişmiş esneklik fırsatına dönüştürebilir.
Bu araştırma sadece gözden kaçan vektörleri aydınlatmakla kalmaz, aynı zamanda savunucuların gelişen bulut tehdidi manzarasında ilerlemelerini sağlar.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.