Il team di Orca Security Research ha rivelato pubblicamente i difetti in due strumenti Amazon Web Services (AWS) che avrebbero potuto consentire l’accesso non autorizzato agli account e utilizzati per divulgare file sensibili. Entrambi gli errori sono stati completamente corretti.
Ottima gomma
Il primo problema tecnico chiamato Orca Ottima gomma, era un problema con AWS Glue che gli utenti potevano sfruttare per accedere alle informazioni gestite da altri utenti di AWS Glue.
Servizi Web Amazon (AWS) Descrivere Gum come “Un servizio di integrazione dei dati serverless che facilita il rilevamento, la preparazione e l’integrazione dei dati per l’analisi, l’apprendimento automatico e lo sviluppo di applicazioni”. È giusto dire che i clienti AWS lo utilizzano per gestire grandi quantità di dati. Così grande, infatti, che AWS consente agli utenti di Glue di archiviare gratuitamente fino a un milione di oggetti.
“Siamo stati in grado di definire una funzionalità in AWS Glue che potrebbe essere sfruttata per ottenere le credenziali del ruolo all’interno dell’account di un servizio AWS”, afferma Orca, dandoci pieno accesso all’API interna del servizio. Oltre a configurare in modo errato i componenti interni nell’API del servizio di colla interna, siamo stati in grado di aumentare i privilegi all’interno dell’account fino al punto in cui abbiamo avuto accesso illimitato a tutte le risorse del servizio nell’area, compresi i privilegi amministrativi completi. “
L’azienda afferma di essere stata in grado di sfruttare questo difetto per:
- Assumi ruoli negli account dei clienti AWS di cui Glue si fida. In ogni account che usa la colla, c’è almeno uno di questi ruoli.
- Esegui query e modifica le risorse relative ad AWS Glue in una regione. Ciò include, a titolo esemplificativo ma non esaustivo, i metadati per: incolla lavori, endpoint di sviluppo, flussi di lavoro, crawler e trigger.
Orca afferma di aver confermato la possibilità di accedere alle informazioni gestite da altri utenti di AWS Glue attraverso l’uso di più account che controlla; La società non è stata in grado di accedere ai dati di nessun altro durante la ricerca di questo difetto. Dice anche che AWS ha risposto alla sua divulgazione entro poche ore, ha avuto un sollievo parziale il giorno successivo e ha completamente alleviato il problema “dopo pochi giorni”.
formazione di rottura
Il secondo difetto riguardava AWS CloudFormation, che era AWS Dice “Ti consente di modellare, fornire e gestire AWS e risorse di terze parti trattando l’infrastruttura come codice”. (Questo modello di “infrastruttura come codice” sta diventando sempre più popolare tra le aziende che cercano di rendere più conveniente la configurazione e la manutenzione delle proprie reti e strumenti man mano che passano al cloud.)
orca Chiamata Il secondo difetto è BreakingFormation e afferma che “potrebbe essere stato utilizzato per divulgare file sensibili su un server vulnerabile e rendere le richieste lato server (SSRF) vulnerabili alla divulgazione non autorizzata delle credenziali dei servizi di infrastruttura interna di AWS”. Dice che il difetto è stato “completamente mitigato entro 6 giorni” dalla sua rivelazione ad AWS.
PC Appunti Il vicepresidente di AWS Colm MacCárthaigh ha fornito ulteriori informazioni sul bug di BreakingFormation su Twitter. Il primo tweet di MacCárthaigh ha risposto all’affermazione secondo cui il difetto mostrava che Orca “ha ottenuto l’accesso a tutte le risorse AWS su tutti gli account AWS!” come segue:
Anche il CTO di Orca Yoav Alon cinguettare L’ambito di CloudFormation non era così ampio come lo rendeva il Tweet originale. Segui MacCárthaigh con un thread sulle scoperte di Orca:
“Abbiamo immediatamente segnalato il problema ad AWS”, afferma Orca, che ha agito rapidamente per risolverlo. Il team di sicurezza AWS ha codificato la correzione in meno di 25 ore e ha raggiunto tutte le regioni AWS in 6 giorni. I ricercatori di Orca Security hanno aiutato a testare la correzione per garantire che questa vulnerabilità fosse risolta correttamente e siamo stati in grado di verificare che non potesse più essere sfruttata. “
“Pluripremiato specialista televisivo. Appassionato di zombi. Impossibile scrivere con i guantoni da boxe. Pioniere di Bacon.”