09 de agosto de 2024Ravie LakshmananSeguridad en la nube / Protección de datos Los investigadores de ciberseguridad han descubierto múltiples fallas críticas en las ofertas de Amazon Web Services (AWS) que, si se explotan con éxito, podrían tener graves consecuencias. «El impacto de estas vulnerabilidades varía entre la ejecución remota de código (RCE), la toma de control del usuario de servicio completo (que podría proporcionar un poderoso acceso administrativo), la manipulación de módulos de IA, la exposición de datos confidenciales, la exfiltración de datos y la denegación de servicio», dijo la empresa de seguridad en la nube Aqua en un informe detallado compartido con The Hacker News. Después de la divulgación responsable en febrero de 2024, Amazon abordó las deficiencias durante varios meses, de marzo a junio. Los hallazgos se presentaron en Black Hat USA 2024. El problema, denominado Bucket Monopoly, se centra en un vector de ataque denominado Shadow Resource, que, en este caso, se refiere a la creación automática de un bucket de AWS S3 cuando se utilizan servicios como CloudFormation, Glue, EMR, SageMaker, ServiceCatalog y CodeStar. El nombre del depósito S3 creado de esta manera es único y sigue una convención de nombres predefinida («cf-templates-{Hash}-{Region}»). Un atacante podría aprovechar este comportamiento para configurar depósitos en regiones de AWS no utilizadas y esperar a que un cliente legítimo de AWS utilice uno de los servicios susceptibles para obtener acceso encubierto al contenido del depósito S3. Según los permisos otorgados al depósito S3 controlado por el adversario, el enfoque podría usarse para escalar y activar una condición de denegación de servicio (DoS), o ejecutar código, manipular o robar datos e incluso obtener control total sobre la cuenta de la víctima sin el conocimiento del usuario. Para maximizar sus posibilidades de éxito, mediante Bucket Monopoly, los atacantes pueden crear depósitos no reclamados con anticipación en todas las regiones disponibles y almacenar código malicioso en el depósito. Cuando la organización objetivo habilita uno de los servicios vulnerables en una nueva región por primera vez, el código malicioso se ejecutará sin saberlo, lo que potencialmente resultará en la creación de un usuario administrador que puede otorgar control a los atacantes. Descripción general de la vulnerabilidad de CloudFormation Sin embargo, es importante tener en cuenta que el atacante tendrá que esperar a que la víctima implemente una nueva pila de CloudFormation en una nueva región por primera vez para lanzar el ataque con éxito. La modificación del archivo de plantilla de CloudFormation en el depósito S3 para crear un usuario administrador no autorizado también depende de si la cuenta de la víctima tiene permiso para administrar roles de IAM. Descripción general de la vulnerabilidad de Glue Descripción general de la vulnerabilidad de CodeStar Aqua dijo que encontró otros cinco servicios de AWS que dependen de una metodología de nombres similar para los buckets S3 – {Prefijo de servicio}-{ID de cuenta de AWS}-{Región} – exponiéndolos así a ataques de Shadow Resource y, en última instancia, permitiendo que un actor de amenazas escale privilegios y realice acciones maliciosas, incluyendo DoS, divulgación de información, manipulación de datos y ejecución de código arbitrario – AWS Glue: aws-glue-assets-{Account-ID}-{Region} AWS Elastic MapReduce (EMR): aws-emr-studio -{Account-ID}-{Region} AWS SageMaker: sagemaker-{Region}-{Account-ID} AWS CodeStar: aws-codestar-{Region}-{Account-ID} AWS Service Catalog: cf-templates-{Hash}-{Region} La compañía también señaló que los ID de cuenta de AWS deben considerarse un secreto, al contrario de lo que Amazon afirma en su documentación, ya que podrían usarse para organizar ataques similares. «Este vector de ataque no solo afecta a los servicios de AWS, sino también a muchos proyectos de código abierto que utilizan las organizaciones para implementar recursos en sus entornos de AWS», dijo Aqua. «Muchos proyectos de código abierto crean buckets S3 automáticamente como parte de su funcionalidad o instruyen a sus usuarios para que implementen buckets S3». «En lugar de utilizar identificadores predecibles o estáticos en el nombre del bucket, es recomendable generar un hash único o un identificador aleatorio para cada región y cuenta, incorporando este valor en el nombre del bucket S3. Este enfoque ayuda a proteger contra los atacantes que reclaman su bucket de forma prematura». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.