La firma de seguridad en la nube Aqua informó sobre múltiples fallos críticos en las ofertas de Amazon Web Services (AWS) que podrían tener serias consecuencias si se explotaran con éxito. Los problemas podrían resultar en ejecución remota de código (RCE), secuestro completo del usuario del servicio, manipulación de módulos de IA, exposición de datos sensibles, extracción de datos y denegación de servicio.
Una divulgación responsable en febrero de 2024 reveló los problemas, y Amazon abordó las deficiencias de marzo a junio. Los hallazgos se presentaron en Black Hat USA 2024.
El problema, llamado Monopolio de Bucles, se centra en un vector de ataque conocido como Recurso Sombrío, que refiere a la creación automática de un bote de AWS S3 al usar servicios como CloudFormation, Glue, EMR, SageMaker, ServiceCatalog y CodeStar.
El nombre del bote S3 creado de esta manera es único y sigue una convención de nombres predefinida. Un atacante podría configurar botes en regiones no utilizadas y esperar a que un cliente legítimo de AWS use uno de los servicios susceptibles para obtener acceso al contenido del bote S3.
Dependiendo de los permisos otorgados al bote S3 controlado por el atacante, el enfoque podría utilizarse para desencadenar una condición de denegación de servicio, ejecutar código, manipular o robar datos, e incluso obtener el control total sobre la cuenta de la víctima sin que el usuario lo sepa.
Los atacantes pueden crear botes no reclamados por adelantado en todas las regiones disponibles y almacenar código malicioso en el bote para maximizar las posibilidades de éxito utilizando Monopolio de Bucles. Aquí, el código malicioso se ejecutaría cuando la organización objetivo habilita uno de los servicios vulnerables en una nueva región por primera vez.
Es importante considerar que el atacante tendrá que esperar a que la víctima implemente una nueva pila de CloudFormation en una nueva región por primera vez para lanzar con éxito el ataque.
Aqua encontró otros cinco servicios de AWS que utilizan una metodología de nombres similar para los botes S3, exponiéndolos a ataques a Recursos Sombríos y permitiendo a los actores de amenazas escalar privilegios y realizar acciones maliciosas.
La empresa también señaló que los ID de cuentas de AWS deberían considerarse secretos, a pesar de lo que Amazon afirma en su documentación, ya que podrían usarse para efectuar ataques similares.
«Este vector de ataque afecta no solo a los servicios de AWS, sino también a muchos proyectos de código abierto utilizados por organizaciones para implementar recursos en sus entornos de AWS«, dijo Aqua.
En una declaración, un portavoz de AWS dijo que la empresa había resuelto las fallas: «Podemos confirmar que hemos solucionado este problema, todos los servicios están funcionando como se esperaba y no se requiere ninguna acción por parte del cliente».
Vía The Hacker News
