Los investigadores de ciberseguridad han descubierto el peligroso papel de identidad predeterminada y gestión de acceso (IAM) que afecta a los servicios web de Amazon que podrían aumentar los privilegios, manipular otros servicios de AWS y, en algunos casos, abrir la puerta para comprometer su cuenta AWS por completo.
«Estos roles a menudo se crean o recomendan automáticamente durante la configuración, y otorgan permisos excesivamente amplios, como el acceso completo de S3», dijeron los investigadores de Aqua Yakir Kadkoda y Ofek Itach en su análisis. «Estos roles predeterminados introducen en silencio rutas de ataque que permiten la escalada de privilegios, el acceso a los servicios cruzados e incluso el compromiso de posibles cuentas».
La compañía de seguridad en la nube dijo que ha identificado problemas de seguridad con roles de IAM predeterminados creados por servicios de AWS como Sagemaker, Glue, EMR, Lightsil. Una falla similar también se ha descubierto en un popular marco de código abierto llamado Ray, que crea automáticamente el papel de IAM predeterminado (Ray-AutoScaler-V1) en la política de Amazons3Fullaccess.
Lo que me preocupa por estos roles IAM es que están destinados a ser algo específico, pero permiten a los atacantes que son abusados para romper los límites aislados entre los servicios y tener un punto de apoyo en el entorno para moverse lateralmente a través del servicio.
Estos ataques van más allá de los ataques exclusivos del cubo. Gira en torno a un escenario en el que los actores de amenaza pueden usar patrones predecibles de nomenclatura de cubos S3 para configurar cubos en regiones de AWS no utilizadas y, en última instancia, permitir a los clientes legítimos controlar el contenido de cubos utilizando servicios como la formación de nubes, pegamento, EMR, SageMaker, Servecatalog, CodeStar.
«En este caso, los atacantes que usan Amazons3FulLaccess para acceder al rol de servicio predeterminado ni siquiera tienen que adivinar de forma remota el nombre del cubo», explicaron los investigadores.
«Puede usar los privilegios existentes para buscar en su cuenta los cubos utilizados por otros servicios utilizando patrones de nomenclatura, modificar activos como las plantillas de formación de nubes, los scripts EMR y los recursos de Sagemaker, y mover servicios dentro de la misma cuenta de AWS horizontalmente».
Dicho de otra manera, los roles de IAM dentro de una cuenta de AWS con los permisos de Amazons3FullAccess tienen acceso de lectura/escritura a todos los cubos S3, modificando varios servicios de AWS, transformando efectivamente ese papel en una forma poderosa de movimiento lateral y una escalada de privilegios.
Algunos de los servicios identificados utilizando una política de tolerancia se enumeran a continuación –
AmazonSageMaker-crea un rol de ejecución predeterminado llamado AmazonSageMaker-ExecutionRole Cuando configure un dominio de SageMaker con una política personalizada equivalente a Amazons3fulLacess, cree un EMR de Amazons3Fullacess Policies. Política de Amazons3FulLaccess
En un escenario de ataque hipotético, los actores de amenaza pueden subir modelos de aprendizaje automático malicioso y abrazarlos en sus rostros. Esto puede resultar en la ejecución del código arbitrario cuando se importa al fabricante de sugerencias.
El enemigo puede aumentar los privilegios dentro de la cuenta y, en última instancia, violar todo el entorno de AWS buscando cubos utilizados en la formización de nubes e inyectando plantillas maliciosas para aumentar aún más los privilegios.
En respuesta a la divulgación, AWS abordó el problema modificando la política de Amazons3FulLaccess para el rol de servicio predeterminado.
«El papel de un servicio predeterminado debe estar estrictamente alcanzado y estrictamente restringido a los recursos y acciones específicos requeridos», dijo el investigador. «Comprender la dependencia de las configuraciones predeterminadas, las organizaciones deben auditar y actualizar proactivamente los roles existentes para minimizar el riesgo».
Los hallazgos detallan las vulnerabilidades en la utilidad utilizada para instalar el almacenamiento de Azure preinstalado en Microsoft Azure AI y cargas de trabajo de informática de alto rendimiento (HPC), lo que permite instalar la utilidad para permitir a los usuarios que no están equipados con máquinas Linux para escalarse.
«Esto incluye métodos de escalada de privilegios clásicos que incluyen binarios Suid, que forman parte de la instalación de AZNFS-Mount, una utilidad para instalar los puntos finales de la cuenta de almacenamiento de Azure», dice el investigador de seguridad Tal Peleg.
«Por ejemplo, los usuarios pueden usar esos permisos para montar contenedores adicionales de almacenamiento de Azure, instalar malware o ransomware en sus máquinas, y usar permisos para intentar moverse horizontalmente en una red o entorno en la nube».
Los defectos que afectan todas las versiones de la utilidad hasta 2.0.10 se abordan en la versión 2.0.11, lanzadas el 30 de enero de 2025.
Source link
