Siber Muhbir

Aqua araştırmacıları Ofek Itach ve Yakir Kadkoda, paylaşılan bir raporda, "Bu sorunun etkisi, belirli senaryolarda, bir saldırganın hedef AWS hesabına yönetici erişimi elde etmesine izin verebilir ve bu da hesabın tamamen ele geçirilmesine neden olabilir" dedi.

27 Haziran 2024'te sorumlu bir şekilde yapılan açıklamanın ardından sorun, Temmuz ayında yayınlanan CDK sürüm 2.149.0'da proje geliştiricileri tarafından ele alındı.

AWS CDK, Python, TypeScript veya JavaScript kullanarak bulut uygulaması kaynaklarını tanımlamaya ve bunları CloudFormation aracılığıyla tedarik etmeye yönelik açık kaynaklı bir yazılım geliştirme çerçevesidir.

Aqua tarafından belirlenen sorun, bulut güvenlik firmasının AWS'deki gölge kaynaklarla ilgili önceki bulgularına ve AWS Simple Storage Service (S3) klasörleri için önceden tanımlanmış adlandırma kurallarının Bucket Monopoly saldırılarını düzenlemek ve hassas verilere erişim elde etmek için nasıl silah haline getirilebileceğine dayanıyor.

Bir AWS ortamının AWS Cloud Development Kit (AWS CDK) ile kullanıma hazırlanması, belirli AWS kaynaklarının ortama tedarik edildiği önyükleme adı verilen bir işlemle gerçekleştirilir. Buna bir AWS S3 klasörü, Amazon Elastic Container Registry (Amazon ECR) deposu ve AWS Identity and Access Management (IAM) rolleri dahildir.

AWS belgelerine göre, "CDK tarafından kullanılan kaynaklar ve yapılandırmaları bir AWS CloudFormation şablonunda tanımlanır".

"Bir ortamı önyüklemek için AWS CDK Komut Satırı Arabirimi (AWS CDK CLI) cdk bootstrap komutunu kullanırsınız. CDK CLI, şablonu alır ve önyükleme yığını olarak bilinen bir yığın olarak AWS CloudFormation'a dağıtır. Varsayılan olarak, yığın adı CDKToolkit'tir."

Önyükleme işleminin bir parçası olarak oluşturulan IAM rollerinden bazıları, ilişkili S3 klasöründen varlık yükleme ve silmenin yanı sıra yönetici erişimiyle yığın dağıtımları gerçekleştirme izni verir.

Aqua, AWS CDK tarafından oluşturulan IAM rollerinin adlandırma modelinin, alanların her birinin aşağıda açıklandığı "cdk-{Niteleyici}-{Açıklama}-{Account-ID}-{Region}" yapısını takip ettiğini söyledi:

• Niteleyici, önyükleme aşamasında özelleştirilebilmesine rağmen varsayılan olarak "hnb659fds" olan benzersiz, dokuz karakterli bir dize değeri
• Açıklama, kaynak açıklaması (örneğin, cfn-exec-role)
• Hesap Kimliği, ortamın AWS hesap kimliği
• Bölge, ortamın AWS bölgesi

Benzer bir şekilde, önyükleme sırasında oluşturulan S3 klasörü "cdk-{Qualifier}-assets-{Account-ID}-{Region}" adlandırma desenini izler.

Aqua, "Birçok kullanıcı niteleyiciyi özelleştirmeden cdk bootstrap komutunu çalıştırdığından, hazırlama klasörünün S3 klasör adlandırma modeli tahmin edilebilir hale geliyor" dedi. "Bunun nedeni, klasör adı niteleyicisi için varsayılan değerin 'hnb659fds' olarak ayarlanmış olması ve bu da klasörün adını tahmin etmeyi kolaylaştırmasıdır."

GitHub'da varsayılan niteleyicinin kullanıldığı binlerce bulut sunucusu keşfedildiğinde, bu aynı zamanda klasörün adını tahmin etmenin AWS Hesap Kimliğini ve CDK'nın dağıtıldığı bölgeyi bulmak kadar basit olduğu anlamına gelir.

Bu özellik ile S3 klasör adlarının tüm AWS hesaplarında küresel olarak benzersiz olduğu gerçeği bir araya getirildiğinde, bu boşluk S3 Klasör Adlarının Doldurulması (veya Klasör Keskin Nişancılığı) adı verilen durumun kapısını açar ve bir saldırganın başka bir kullanıcının CDK klasörünü henüz yoksa talep etmesine olanak tanır.

Bu, daha sonra bir kullanıcı CDK'yı aynı hesap kimliği ve bölgeyle önyüklemeye çalıştığında kısmi hizmet reddinin (DoS) önünü açabilir ve bu, önyükleme sırasında özel bir niteleyici belirterek çözülebilecek bir senaryodur.

Kurbanın CDK'sının, saldırgan tarafından kontrol edilen S3 klasöründen hem veri okuma hem de bu klasöre veri yazma iznine sahip olması ve böylece CloudFormation şablonlarını kurcalamayı ve kurbanın AWS hesabında kötü amaçlı eylemler gerçekleştirmeyi mümkün kılması durumunda daha ciddi bir sonuç ortaya çıkabilir.

Aqua, "CDK'da CloudFormationExecutionRole rolü olan CloudFormation hizmetinin dağıtım rolü, varsayılan olarak hesap içinde yönetici ayrıcalıklarına sahiptir" dedi.

"Bu, kurbanın CDK'sı tarafından saldırganın S3 klasörüne yazılan herhangi bir CloudFormation şablonunun daha sonra kurbanın hesabında yönetici ayrıcalıklarıyla dağıtılacağı anlamına geliyor. Bu, saldırganın ayrıcalıklı kaynaklar oluşturmasına olanak tanır."

Varsayımsal bir saldırıda, bir kullanıcı geçmişte CDK önyükleme sürecini başlatmış ve daha sonra kota sınırları nedeniyle S3 klasörünü silmişse, saldırgan aynı ada sahip bir klasör oluşturmak için durumdan yararlanabilir.

Bu, daha sonra CDK'nın hileli kovaya dolaylı olarak güvenmesine ve ona CloudFormation şablonları okumasına/yazmasına neden olarak onları istismara açık hale getirebilir. Ancak, bunun başarılı olması için saldırganın aşağıdaki ön koşulları yerine getirmesi beklenir:

• Öngörülebilir ada sahip klasörü talep edin ve genel erişime izin verin
• Belirli bir CloudFormation şablon dosyası klasöre her yüklendiğinde bu dosyaya kötü amaçlı bir yönetici rolü veya arka kapı ekleyecek bir Lambda işlevi oluşturun

Son aşamada, kullanıcı "cdk dağıtımı" kullanarak CDK'yı dağıttığında, işlem yalnızca şablonu çoğaltma paketine göndermekle kalmaz, aynı zamanda saldırganın kurbanın hesabının kontrolünü nihai olarak ele geçirmek için üstlenebileceği bir yönetici rolü de enjekte eder.

Başka bir deyişle, saldırı zinciri, önyükleme işlemi sırasında kurulan bir CDK S3 klasörü silindiğinde ve CDK yeniden kullanıldığında hedef AWS hesabında bir yönetici rolü oluşturulmasını kolaylaştırır. AWS, o zamandan beri CDK kullanıcılarının yaklaşık %1'inin saldırı vektörüne karşı savunmasız olduğunu doğruladı.

AWS tarafından uygulamaya konulan düzeltme, CDK'nın önyüklemeyi başlatan hesaba ait olmayan klasörlere veri göndermesini önlemek için varlıkların yalnızca kullanıcının hesabındaki klasörlere yüklenmesini sağlar. Ayrıca müşterileri varsayılan "hnb659fds" yerine ısmarlama bir niteleyici kullanmaya çağırdı.

Bununla birlikte, önyükleme CDK v2.148.1 veya önceki bir sürümü kullanılarak gerçekleştirildiyse ve CDK'yi en son sürüme güncellemeleri ve bootstrap komutunu yeniden çalıştırmaları gerekiyorsa kullanıcı eylemi gereklidir. Alternatif olarak, kullanıcıların FilePublishingRole CDK rolüne bir IAM ilke koşulu uygulama seçeneği vardır.

AWS, CDK dağıtımlarını gerçekleştirirken yetkisiz veri maruziyetiyle ilgili tüm endişeleri araştırdığını ve ele aldığını söyledi.

Bir AWS sözcüsü yayına verdiği demeçte, "12 Temmuz 2024'te AWS, AWS Cloud Development Kit (AWS CDK) CLI için CDK dağıtımları gerçekleştiren müşteriler için veri ifşası olasılığını azaltmak için ek güvenlik denetimleri uygulayan bir güncelleme yayınladı" dedi.

"En son sürümü kullanan müşterilerin, önyükleme kaynaklarını yükseltmek için tek seferlik bir eylem gerçekleştirmeleri gerekecek. AWS, potansiyel olarak etkilenen müşterilere yükseltme yapmaları gerektiğini bildirmek için doğrudan ulaştı ve kullanıcılara yükseltme yapmalarını hatırlatmak için CLI'ya ek denetimler ekledi."

Bulgular bir kez daha AWS hesap kimliklerinin gizli tutulması, kapsamlı bir IAM politikası tanımlanması ve S3 klasörlerine öngörülebilir adlar vermekten kaçınılması çağrısında bulunuyor.

Aqua, "Bunun yerine, her bölge ve hesap için benzersiz karmalar veya rastgele tanımlayıcılar oluşturun ve bunları S3 klasör adlarınıza dahil edin," diyerek sözlerini sonlandırıyor. "Bu strateji, kovanızı önceden talep eden saldırganlara karşı korunmaya yardımcı olur."

Açıklama, Broadcom'un sahibi olduğu Symantec'in AWS ve Microsoft Azure Blob Storage için bulut hizmeti kimlik bilgilerini sabit kodlayan ve şifrelenmemiş birkaç Android ve iOS uygulaması bularak kullanıcı verilerini riske atmasıyla geldi.

Rahatsız edici uygulamalardan bazıları Pic Stitch: Collage Maker, Crumbl, Eureka: Anketler için Para Kazanın, Videoshop - Video Düzenleyici, Meru Cabs, Sulekha Business ve ReSound Tinnitus Relief'i içerir.

Güvenlik araştırmacıları Yuanjing Guo ve Tommy Dong, "Bu tehlikeli uygulama, uygulamanın ikili veya kaynak koduna erişimi olan herkesin potansiyel olarak bu kimlik bilgilerini çıkarabileceği ve verileri manipüle etmek veya sızdırmak için kötüye kullanabileceği ve ciddi güvenlik ihlallerine yol açabileceği anlamına geliyor" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.