Siber Muhbir

Bulut güvenlik firması Aqua, paylaşılan ayrıntılı bir raporda, "Bu güvenlik açıklarının etkisi, uzaktan kod yürütme (RCE), tam hizmet kullanıcı devralma (güçlü yönetim erişimi sağlayabilir), AI modüllerinin manipülasyonu, hassas verilerin açığa çıkarılması, veri hırsızlığı ve hizmet reddi arasında değişmektedir" dedi.

Şubat 2024'teki sorumlu açıklamanın ardından Amazon, Mart'tan Haziran'a kadar birkaç ay boyunca eksiklikleri giderdi. Bulgular Black Hat USA 2024'te sunuldu.

Bucket Monopoly olarak adlandırılan sorunun merkezinde, Shadow Resource olarak adlandırılan ve bu durumda CloudFormation, Glue, EMR, SageMaker, ServiceCatalog ve CodeStar gibi hizmetler kullanılırken bir AWS S3 klasörünün otomatik olarak oluşturulmasını ifade eden bir saldırı vektörü yer alıyor.

Bu şekilde oluşturulan S3 klasör adı hem benzersizdir hem de önceden tanımlanmış bir adlandırma kuralına uyar (ör. "cf-templates-{Hash}-{Region}"). Bir saldırgan bu davranıştan yararlanarak kullanılmayan AWS bölgelerinde klasörler kurabilir ve meşru bir AWS müşterisinin S3 klasörünün içeriğine gizli erişim elde etmek için hassas hizmetlerden birini kullanmasını bekleyebilir.

Düşman tarafından kontrol edilen S3 klasörüne verilen izinlere bağlı olarak, bu yaklaşım bir DoS koşulunu tetiklemek veya kod yürütmek, verileri manipüle etmek veya çalmak ve hatta kullanıcının bilgisi olmadan kurban hesabı üzerinde tam kontrol elde etmek için kullanılabilir.

Saldırganlar, Bucket Monopoly'yi kullanarak başarı şanslarını en üst düzeye çıkarmak için mevcut tüm bölgelerde önceden sahipsiz kovalar oluşturabilir ve kovada kötü amaçlı kod depolayabilir. Hedeflenen kuruluş, güvenlik açığı bulunan hizmetlerden birini yeni bir bölgede ilk kez etkinleştirdiğinde, kötü amaçlı kod bilmeden yürütülür ve potansiyel olarak saldırganlara denetim sağlayabilecek bir yönetici kullanıcının oluşturulmasına neden olur.

Ancak, saldırganın saldırıyı başarılı bir şekilde başlatmak için kurbanın ilk kez yeni bir bölgede yeni bir CloudFormation yığını dağıtmasını beklemesi gerekeceğini göz önünde bulundurmak önemlidir. S3 klasöründeki CloudFormation şablon dosyasını sahte bir yönetici kullanıcı oluşturacak şekilde değiştirmek, kurban hesabının IAM rollerini yönetme iznine sahip olup olmadığına da bağlıdır.

Aqua, S3 klasörleri için benzer bir adlandırma metodolojisine dayanan beş AWS hizmeti daha bulduğunu söyledi – {Hizmet Öneki}-{AWS Hesap Kimliği}-{Bölge} – böylece bunları Gölge Kaynak saldırılarına maruz bırakıyor ve nihayetinde bir tehdit aktörünün ayrıcalıkları yükseltmesine ve DoS, bilgi ifşası, veri manipülasyonu ve keyfi kod yürütme dahil olmak üzere kötü niyetli eylemler gerçekleştirmesine izin veriyor -

• AWS Tutkalı: aws-glue-assets-{Account-ID}-{Region}
• AWS Elastic MapReduce (EMR): aws-emr-studio -{Account-ID}-{Region}
• AWS SageMaker: sagemaker-{Bölge}-{Hesap-Kimliği}
• AWS CodeStar: aws-codestar-{Bölge}-{Hesap-Kimliği}
• AWS Service Catalog: cf-templates-{Hash}-{Region}

Şirket ayrıca, Amazon belgelerinde belirttiğinin aksine, AWS hesap kimliklerinin, benzer saldırılar düzenlemek için kullanılabileceği için bir sır olarak kabul edilmesi gerektiğini belirtti.

Dahası, AWS hesapları için kullanılan hash'ler GitHub normal ifade aramaları veya Sourcegraph kullanılarak ya da alternatif olarak açık sorunlar kazınarak ortaya çıkarılabilir, böylece hash'i doğrudan hesap kimliğinden veya hesapla ilgili diğer meta verilerden hesaplamanın bir yolu olmasa bile S3 klasör adını bir araya getirmeyi mümkün kılar.

Aqua, "Bu saldırı vektörü yalnızca AWS hizmetlerini değil, aynı zamanda kuruluşlar tarafından AWS ortamlarında kaynakları dağıtmak için kullanılan birçok açık kaynaklı projeyi de etkiliyor" dedi. "Birçok açık kaynak projesi, işlevlerinin bir parçası olarak otomatik olarak S3 klasörleri oluşturuyor veya kullanıcılarına S3 klasörleri dağıtmaları talimatını veriyor."

"Klasör adında öngörülebilir veya statik tanımlayıcılar kullanmak yerine, her bölge ve hesap için benzersiz bir hash veya rastgele bir tanımlayıcı oluşturmanız ve bu değeri S3 klasör adına dahil etmeniz önerilir. Bu yaklaşım, kovanızı zamanından önce talep eden saldırganlara karşı korunmanıza yardımcı olur."

Son Durum

Hikayenin yayınlanmasının ardından paylaşılan bir açıklamada, bir AWS sözcüsü, şirketin araştırmanın farkında olduğunu ve kusurları çözdüğünü söyledi: "Bu sorunu çözdüğümüzü, tüm hizmetlerin beklendiği gibi çalıştığını ve herhangi bir müşteri eylemi gerekmediğini doğrulayabiliriz."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.