La falla de «Bucket Monopoly» de AWS provocó la apropiación de cuentas

AXCESS · Agosto 12, 2024, 02:28:54 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Black Hat USA 2024 está en pleno desarrollo y a toda velocidad mientras se exponen vulnerabilidades críticas de AWS. Descubra cómo los atacantes podrían explotar los "recursos ocultos" para obtener el control de las cuentas en CloudFormation, Glue, EMR, SageMaker, Service Catalog y CodeStar. La investigación revela una técnica única de "monopolio de contenedores"(«Bucket Monopoly») .

El equipo de investigación de la empresa de seguridad en la nube Aqua Security, Nautilus, descubrió un conjunto de vulnerabilidades críticas en seis ofertas de Amazon Web Services (AWS) en febrero de 2024. Los servicios de AWS, incluidos CloudFormation, Glue, EMR, SageMaker, ServiceCatalog y CodeStar, tenían estas vulnerabilidades.

La investigación, presentada en Black Hat USA 2024 por el investigador principal de seguridad Yakir Kadkoda y el investigador sénior de seguridad Ofek Itach, se centró en el concepto de "recursos ocultos". Se trata de recursos creados automáticamente tras bastidores al configurar determinados servicios de AWS.

Uno de estos recursos ocultos es un bucket S3, un contenedor de almacenamiento en la nube similar a las carpetas de archivos de una computadora, que se utiliza para almacenar imágenes, videos y otros datos. Los investigadores descubrieron que la convención de nombres para estos buckets era predecible, lo que permitía a los atacantes adivinar o descubrir potencialmente sus nombres.

Según la publicación del blog de la empresa, al crear estos servicios en una nueva región, se crea automáticamente un bucket S3 con un nombre, que se divide en el ID del servicio y el nombre de la región. Los atacantes podrían descubrir los nombres de los buckets o adivinar partes predecibles del nombre utilizando un método llamado "Bucket Monopoly".

Bucket Monopoly permite a los atacantes "apropiarse" de buckets S3 no reclamados en AWS. Un ID de cuenta de AWS es un recurso abundante en GitHub que puede indicar la propiedad del bucket. Los adversarios podrían crear estos buckets con anticipación en todas las regiones disponibles y almacenar código malicioso en el bucket.

Cuando la organización objetivo habilita el servicio en una nueva región, el código malicioso puede ejecutarse sin saberlo, lo que potencialmente conduce a la creación de un usuario administrador que otorga el control a los atacantes.

Esto permitiría a los atacantes obtener el control total de las cuentas de AWS, robar datos confidenciales o interrumpir operaciones críticas al reclamar la propiedad de importantes depósitos S3 en AWS antes de que se creen.

"Las vulnerabilidades van desde la ejecución remota de código, que podría llevar a la toma de control total de la cuenta, hasta la divulgación de información, lo que podría exponer datos confidenciales o causar la denegación de servicio", señalaron los investigadores.

La buena noticia es que Aqua Security reveló responsablemente estas vulnerabilidades a AWS, que las abordó rápidamente con parches. Aqua Security publicará todos los detalles de la investigación, incluido un método para verificar vulnerabilidades pasadas y una herramienta de código abierto para explorar las llamadas API internas del servicio, después de la conferencia DEF CON.

Un portavoz de AWS se puso en contacto con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y confirmó que la empresa estaba al tanto del problema y emitió una solución de inmediato. "AWS está al tanto de esta investigación. Podemos confirmar que hemos solucionado este problema, todos los servicios funcionan como se esperaba y no se requiere ninguna acción del cliente".

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La falla de «Bucket Monopoly» de AWS provocó la apropiación de cuentas

AXCESS

Agosto 12, 2024, 02:28:54 AM