Uyarı: Tehdit Aktörleri Bulut Hesaplarına Sızmak İçin AWS STS'den Yararlanabilir
Tehdit aktörleri, bulut hesaplarına sızmanın ve takip saldırıları gerçekleştirmenin bir yolu olarak Amazon Web Services Security Token Service'ten (AWS STS) yararlanabilir.
Red Canary araştırmacıları Thomas Gardner ve Cody Betsworth, Salı günü yaptıkları bir analizde, hizmetin tehdit aktörlerinin bulut ortamlarındaki kullanıcı kimliklerini ve rollerini taklit etmelerini sağladığını söyledi.
AWS STS, kullanıcıların bir AWS kimliği oluşturmaya gerek kalmadan AWS kaynaklarına erişmeleri için geçici, sınırlı ayrıcalıklı kimlik bilgileri istemesine olanak tanıyan bir web hizmetidir. Bu STS belirteçleri 15 dakikadan 36 saate kadar herhangi bir yerde geçerli olabilir.
Tehdit aktörleri, kötü amaçlı yazılım bulaşmaları, herkese açık kimlik bilgileri ve kimlik avı e-postaları gibi çeşitli yöntemlerle uzun vadeli IAM belirteçlerini çalabilir ve ardından bunları API çağrıları aracılığıyla bu belirteçlerle ilişkili rolleri ve ayrıcalıkları belirlemek için kullanabilir.
Araştırmacı, "Token'ın izin düzeyine bağlı olarak, saldırganlar, ilk AKIA token'lerinin ve oluşturduğu tüm ASIA kısa vadeli token'lerin keşfedilmesi ve iptal edilmesi durumunda kalıcılığı sağlamak için uzun vadeli AKIA token'lere sahip ek IAM kullanıcıları oluşturmak için de kullanabilir" dedi.
Bir sonraki aşamada, birden çok yeni kısa vadeli belirteç oluşturmak için MFA tarafından doğrulanmış bir STS belirteci kullanılır ve ardından veri hırsızlığı gibi istismar sonrası eylemler gerçekleştirilir.
Bu tür AWS belirteci kötüye kullanımını azaltmak için CloudTrail olay verilerini günlüğe kaydetmeniz, rol zinciri oluşturma olaylarını ve MFA kötüye kullanımını algılamanız ve uzun vadeli IAM kullanıcı erişim anahtarlarını döndürmeniz önerilir.
Araştırmacılar, "AWS STS, statik kimlik bilgilerinin kullanımını ve bulut altyapılarındaki kullanıcılar için erişim süresini sınırlamak için kritik bir güvenlik denetimidir" dedi.
"Bununla birlikte, birçok kuruluşta yaygın olan belirli IAM yapılandırmaları altında, saldırganlar bulut kaynaklarına erişmek ve kötü amaçlı eylemler gerçekleştirmek için bu STS belirteçlerini oluşturabilir ve kötüye kullanabilir."
Benzer Haberler
Penn State, Savunma Bakanlığı ve NASA Siber Güvenlik Gereksinimlerine Uyulmaması Üzerine 1.25 Milyon Dolara Razı Oldu
Landmark Admin, 800.000 Kişiyi Etkileyen Veri İhlalini Açıkladı
Change Healthcare fidye yazılımı saldırısı 100 milyon kişiyi etkiliyor
SEC, Yanıltıcı SolarWinds Siber Saldırı Açıklamaları Nedeniyle 4 Şirketi Suçladı
İrlandalı gözlemci, GDPR ihlalleri nedeniyle LinkedIn'e 310 milyon Euro rekor para cezası verdi
Crypt Ghouls, LockBit 3.0 ve Babuk Fidye Yazılımı Saldırılarıyla Rus Firmalarını Hedef Alıyor
AB Mahkemesi, Meta'nın Kişisel Facebook Verilerini Hedefli Reklamlar İçin Kullanmasını Sınırladı
ABD, Büyük Dezenformasyon Baskısında 32 Rus Yanlısı Propaganda Alanını Ele Geçirdi