Amazon Web Services (AWS), saldırganların diğer AWS müşteri hesaplarıyla bağlantılı verilere erişmesine ve bunları değiştirmesine izin veren bir AWS Glue güvenlik sorununu ele aldı.
AWS Tutkalı uygulama geliştirme, makine öğrenimi ve analitik için verileri keşfetmeye, hazırlamaya ve birleştirmeye yardımcı olan sunucusuz bir bulut veri entegrasyon hizmetidir.
Zafiyet, istismar edilebilir bir AWS Glue özelliğinden ve Orca Security güvenlik araştırmacılarının bölgedeki tüm hizmet kaynaklarına erişim elde etmek için ayrıcalıkları yükseltmesine izin veren dahili bir hizmet API’si yanlış yapılandırmasından kaynaklandı.
“Araştırmamız sırasında, AWS Glue’da, AWS hizmetinin kendi hesabındaki bir role ilişkin kimlik bilgilerini almak için kullanılabilecek ve bize dahili hizmet API’sine tam erişim sağlayan bir özellik tespit edebildik.” açıkladı Yanir Tsarimi, Orca Security’de Bulut Güvenliği Araştırmacısı.
“Glue dahili hizmet API’sindeki dahili bir yanlış yapılandırmayla birlikte, hesap içindeki ayrıcalıkları, tam yönetici ayrıcalıkları da dahil olmak üzere, bölgedeki hizmet için tüm kaynaklara sınırsız erişime sahip olduğumuz noktaya kadar yükseltebildik.”
Araştırmacılar bulgularının yalnızca Orca Security’ye ait AWS hesapları kullanılarak ortaya çıkarıldığını ve araştırmaları sırasında diğer AWS müşterilerine ait bilgi veya verilere erişmediklerini ekledi.
Araştırmacılar, güvenlik açığını araştırırken, diğer AWS müşterilerinin hesaplarında Glue hizmeti tarafından güvenilen roller üstlendiler (Glue erişimi olan her hesabın böyle en az bir rolü vardır).
Ayrıca Glue işleri, geliştirme uç noktaları, iş akışları, tarayıcılar ve tetikleyiciler için meta veriler dahil ancak bunlarla sınırlı olmamak üzere bir AWS bölgesindeki AWS Glue hizmetiyle ilgili kaynakları sorgulayıp değiştirebildiler.
AWS Glue hizmet ekibi, Orca Security’nin raporunu aldıktan sonra birkaç saat içinde kusuru yeniden oluşturup onayladı ve ertesi sabaha kadar sorunu küresel olarak kısmen azalttı.
Sadece birkaç gün içinde Superglue güvenlik açığı için tam azaltmayı devreye alarak potansiyel saldırganların AWS Glue müşterilerinin verilerine erişmesini engellediler.
Hizmetin başlatılmasına kadar giden günlüklerin analizi yapıldı ve bu sorunla ilgili tek etkinliğin araştırmacıya ait hesaplar arasında olduğunu kesin olarak belirledik. Başka hiçbir müşterinin hesabı etkilenmedi. AWS Glue tarafından bir müşterinin hesabında gerçekleştirilen tüm eylemler, müşteriler tarafından kontrol edilen ve görüntülenebilen CloudTrail kayıtlarına kaydedilir. – AWS
AWS’nin Güvenlik Ekibi ayrıca ikinci bir güvenlik açığını yamaladı AWS CloudFormation hizmetinde Orca Security tarafından bulundu (dublajlı BreakingFormation).
Araştırmacılara göre, bu XXE (XML Harici Varlık) kusuru, dahili AWS altyapı hizmetlerinin dosya ve kimlik bilgilerinin ifşa edilmesine yol açtı.
Orca Security’den Tzah Pahima, “Araştırma ekibimiz, ana bilgisayarda bulunan veriler (kimlik bilgileri ve dahili uç noktaları içeren veriler dahil) göz önüne alındığında, bir saldırganın kiracı sınırlarını aşmak için bu güvenlik açığını kötüye kullanabileceğine ve onlara AWS’deki herhangi bir kaynağa ayrıcalıklı erişim verebileceğine inanıyor.” katma.
Ancak AWS Başkan Yardımcısı Colm MacCárthaigh, BreakingFormation hatasının yalnızca ana bilgisayar düzeyinde kimlik bilgilerine erişmek için kullanılabileceğini ve AWS CloudFormation ana bilgisayarlarının tüm AWS hesaplarındaki kaynaklara erişimi olmadığını söyleyerek güvenlik firmasının iddialarını reddetti.
Tamam, işte bu konuyla ilgili kısa özetim: @orcasec ana bilgisayarlarda SSRF’ye yol açan ve bazı yerel ana bilgisayar düzeyinde kimlik bilgilerini ve yapılandırmayı getirebilecek bir sorunu keşfetti ve bildirdi. Harika bul! 1/n https://t.co/R2UsSrOdZ7
– Colm MacCárthaigh (@colmmacc) 13 Ocak 2022
Güncelleme 13 Ocak 17:07 EST: Bir AWS sözcüsü, makale yayınlandıktan sonra şu açıklamayı gönderdi:
AWS Glue ETL ve AWS CloudFormation ile ilgili bir sorunun farkındayız ve hiçbir AWS müşteri hesabının veya verisinin etkilenmediğini doğrulayabiliriz. Bu konuyu Orca Güvenlik’ten öğrendikten sonra, birkaç saat içinde hafifletmek için hemen harekete geçtik ve herhangi bir tekrarı önlemek için hizmetlere ek kontroller ekledik.