Los investigadores de seguridad cibernética han descubierto roles de identidad y papeleo de acercamiento por incumplimiento de aventura (IAM) que afectan los servicios web de Amazon que podrían rasgar la puerta a los atacantes para intensificar los privilegios, manipular otros servicios de AWS y, en algunos casos, incluso comprometer las cuentas de AWS por completo.
«Estos roles, a menudo creados automáticamente o recomendados durante la configuración, otorgan permisos demasiado amplios, como el acercamiento completo de S3», dijeron los investigadores de Aqua Yakir Kadkoda y Ofek Itach en un estudio. «Estos roles predeterminados introducen silenciosamente rutas de ataque que permiten la subida de privilegios, el acercamiento a los servicios cruzados e incluso el compromiso potencial de la cuenta».
La firma de seguridad en la nimbo dijo que identificaba problemas de seguridad en los roles de IAM predeterminados creados por servicios de AWS como Sagemaker, Glue, EMR y Lightsil. Un defecto similar igualmente se ha descubierto en un popular situación de código destapado llamado Ray, que crea automáticamente un papel de IAM predeterminado (Ray-AutoScaler-V1) con la política de Amazons3FullAccess.
Lo que es consciente de estos roles IAM es que, si correctamente están destinados a poco específico, podrían explotar de realizar acciones administrativas y romper los límites de aislamiento entre los servicios, permitiendo efectivamente a un atacante que tiene un punto de apoyo en el entorno para moverse lateralmente a través de los servicios.
Estos ataques van más allá de los ataques de monopolio de cubos, que giran en torno a un proscenio en el que un actor de amenaza podría disfrutar los patrones predecibles de nombres de cubos S3 para establecer cubos en las regiones de AWS no utilizadas y finalmente obtener control sobre el contenido de la cubierta cuando un cliente oficial comienza a usar servicios como CloudFormation, Glue, EMR, Sagemaker, ServiceCatalog y Codestar.
«En este caso, un atacante que deseo acercamiento a un papel de servicio predeterminado con Amazons3fulLaccess ni siquiera necesita adivinar los nombres de cubos de forma remota», explicaron los investigadores.
«Pueden usar sus privilegios existentes para averiguar en la cuenta los cubos utilizados por otros servicios utilizando los patrones de nomenclatura, modificar activos como plantillas de formación de nubes, scripts EMR y posibles de Sagemaker, y moverse lateralmente a través de los servicios adentro de la misma cuenta de AWS».
Dicho de otra forma, un papel de IAM adentro de una cuenta de AWS con los permisos de Amazons3Fullaccess tiene acercamiento de leída/escritura a cada cubo S3 y modifica varios servicios de AWS, convirtiendo efectivamente el papel en un poderoso método para el movimiento adyacente y la subida de privilegios.
Algunos de los servicios identificados con la política permisiva se enumeran a continuación –
- Amazon Sagemaker AI, que crea un rol de ejecución predeterminado llamado AmazonSageMaker-E-ExecutionRole-
Al configurar un dominio de Sagemaker que viene con una política personalizada equivalente a Amazons3fulLaccess - AWS Glue, que crea un papel predeterminado de AwsGlueservicerole con la política de Amazons3FullAccess
- Amazon EMR, que crea un amazonemrstudio_runtimerole_ predeterminado
Política de Amazons3FullAccess que se le asignó
En un proscenio de ataque hipotético, un actor de amenaza podría cargar un maniquí de estudios inconsciente desconfiado para abrazar la cara que, cuando se importan a Sagemaker, puede resultar en la ejecución de un código abusivo, que luego podría estar de moda para confiscar el control de otros servicios de AWS como el Glumbe al inyectar una puerta trasera capaz de robar las credenciales IAM de IAM del trabajo de GLUE.
El adversario podría aumentar sus privilegios adentro de la cuenta, en última instancia, violando todo el entorno de AWS buscando cubos utilizados por CloudFormation e inyectando una plantilla maliciosa para aumentar aún más los privilegios.
En respuesta a la divulgación, AWS ha abordado los problemas modificando la política de Amazons3FulLaccess para los roles de servicio predeterminados.
«AWS confirmó AWS CDK (Cloud Development Kit), AWS Glue, Amazon EMR (Elastic MapReduce) y Amazon Sagemaker están operando como se esperaba», dijo Amazon en un comunicado compartido con Hacker News. «Este problema se resolvió modificando las políticas para los roles de servicio predeterminados, particularmente la política de Amazons3FullAccess».
«Amazon Lightsil ha actualizado la documentación para instruir a los usuarios que creen cubos con una política de gravedad. AWS CDK ha asegurado que los activos de CDK solo se carguen en los cubos en la cuenta del heredero».
«Los roles de servicio predeterminados deben estar estrechamente alcanzados y estrictamente limitados a los posibles y acciones específicos que requieren», dijeron los investigadores. «Las organizaciones deben auditar y refrescar de forma proactiva los roles existentes para minimizar el aventura, en emplazamiento de reconocer de las configuraciones predeterminadas».
Los hallazgos se producen cuando Varonis detalló una vulnerabilidad en una utilidad utilizada para el montaje de almacenamiento de Azure que viene preinstalado en Microsoft Azure AI y las cargas de trabajo informáticas de stop rendimiento (HPC) y permite a un heredero no privilegiado en una máquina Linux con esta utilidad instalada para aumentar sus privilegios a la raíz.
«Implica un método de subida de privilegio clásico que involucra un binario Suid que forma parte de la instalación de AZNFS-Mount, una utilidad para el montaje de la cuenta de almacenamiento de Azure NFS Puntos finales», dijo el investigador de seguridad Tal Peleg.
«Por ejemplo, un heredero podría elevar los permisos para rootear y usar esos permisos para costar contenedores de almacenamiento Azure adicionales, instalar malware o ransomware en la máquina e intentar moverse lateralmente en los entornos de red o nimbo».
El defecto, que afecta todas las versiones de la utilidad hasta 2.0.10, se ha abordado en la traducción 2.0.11 audaz el 30 de enero de 2025.
