Cybersecurity -onderzoekers hebben risicovolle standaardidentiteits- en toegangsbeheer (IAM) -rollen ontdekt die van invloed zijn op Amazon Web Services die de deur kunnen openen voor aanvallers om privileges te escaleren, andere AWS -diensten te manipuleren en in sommige gevallen zelfs volledig compromissen met AWS -accounts.
“Deze rollen, vaak automatisch gecreëerd of aanbevolen tijdens de opstelling, verleen overdreven brede machtigingen, zoals volledige S3 -toegang,” zeiden Aqua -onderzoekers Yakir Kadkoda en Ofek Itach in een analyse. “Deze standaardrollen introduceren stilletjes aanvalspaden die escalatie van privileges, cross-service toegang en zelfs potentieel accountcompromis mogelijk maken.”
Het cloudbeveiligingsbedrijf zei dat het beveiligingsproblemen identificeerde in standaard IAM -rollen die zijn gecreëerd door AWS -services zoals Sagemaker, Glue, EMR en LightSail. Een soortgelijke fout is ook opgegraven in een populair open-source framework genaamd Ray, dat automatisch een standaard IAM-rol creëert (Ray-autoscaler-V1) met het Amazones3fullaccess-beleid.
Wat zorgt voor deze IAM -rollen is dat hoewel ze bedoeld zijn voor iets specifieks, ze kunnen worden misbruikt om administratieve acties uit te voeren en isolatiegrenzen te verbreken tussen diensten, waardoor een aanvaller die voet aan de grond heeft in de omgeving zijdelings over diensten kan bewegen.
Deze aanvallen gaan verder dan emmermonopoly -aanvallen, die draaien rond een scenario waarin een dreigingsacteur kan profiteren van voorspelbare S3 -emmernoemingspatronen om emmers op te zetten in ongebruikte AWS -regio’s en uiteindelijk controle krijgen over de inhoud van de emmer wanneer een legitieme klant begint met het gebruik van diensten zoals cloudformatie, glue, sagemaker, Servicecatalog, en codestar.
“In dit geval hoeft een aanvaller die toegang krijgt tot een standaarddienstrol met Amazons3fullAccess niet eens op afstand raden,” legden de onderzoekers uit.
“Ze kunnen hun bestaande privileges gebruiken om het account te doorzoeken op emmers die door andere services worden gebruikt met behulp van de naamgevingspatronen, activa zoals cloudformatie -sjablonen, EMR -scripts en sagemaker -bronnen wijzigen en lateraal over diensten binnen hetzelfde AWS -account gaan.”
Anders gezegd, een IAM -rol binnen een AWS -account met Amazons3fullAccess -machtigingen heeft toegang/schrijftoegang tot elke S3 -emmer gelezen en wijzigt verschillende AWS -diensten, waardoor de rol effectief een krachtige methode voor laterale beweging en privilege -escalatie wordt omgezet.
Sommige van de geïdentificeerde diensten met het permissieve beleid worden hieronder vermeld –
- Amazon Sagemaker AI, die een standaarduitvoeringsrol maakt met de naam AmazonesAgemaker-ExecutionRole-
Bij het instellen - AWS -lijm, die een standaard AWSGLUEServicerole -rol creëert met het Amazones3fullaccess -beleid
- Amazon EMR, die een standaard Amazonemrstudio_Runtimerole_
rol creëert die het Amazons3fullAccess-beleid heeft toegewezen
In een hypothetisch aanvalsscenario zou een dreigingsacteur een kwaadwillend machine -leermodel kunnen uploaden om het gezicht te knuffelen dat, wanneer geïmporteerd in Sagemaker, kan leiden tot de uitvoering van willekeurige code, die vervolgens kan worden gebruikt om de controle over andere AWS -diensten zoals lijm te grijpen door een achterdeur te stelen die een achterdeur capable kan stelen om een backdoor te stelen die in staat is om een backdoor te stelen die een achterdeur capable kan stelen.
De tegenstander kan vervolgens hun voorrechten binnen het account escaleren, uiteindelijk de hele AWS -omgeving overtreden door te zoeken naar emmers die door cloudformatie worden gebruikt en een kwaadwillende sjabloon te injecteren om privileges verder te escaleren.
Als reactie op de openbaarmaking heeft AWS de problemen aangepakt door het Amazons3fullAccess -beleid te wijzigen voor standaard servicrollen.
“Standaard servicrollen moeten strak worden gescoord en strikt beperkt tot de specifieke middelen en acties die ze nodig hebben,” zeiden de onderzoekers. “Organisaties moeten proactief bestaande rollen controleren en bijwerken om het risico te minimaliseren, in plaats van te vertrouwen op standaardconfiguraties.”
De bevindingen komen als Varonis gedetailleerd een kwetsbaarheid in een hulpprogramma dat wordt gebruikt voor het monteren van Azure-opslag dat vooraf is geïnstalleerd op Microsoft Azure AI en High-Performance Computing (HPC) werklast (mogelijk maakt een onverteerbare gebruiker op een Linux-machine met dit nut geïnstalleerd om hun voorrechten te richten naar root.
“Het gaat om een klassieke escalatiemethode met een soft binair getal dat deel uitmaakt van de installatie van AZNFS-Mount, een hulpprogramma voor het opslag van Azure opslagrekening NFS-eindpunten van Azure opslag,” zei beveiligingsonderzoeker Tal Peleg.
“Een gebruiker kan bijvoorbeeld machtigingen verheffen om te rooten en die machtigingen te gebruiken om extra Azure -opslagcontainers op te zetten, malware of ransomware op de machine te installeren en te proberen lateraal te bewegen in de netwerk- of cloudomgevingen.”
De fout, die van invloed is op alle versies van het hulpprogramma tot 2.0.10, is behandeld in versie 2.0.11 uitgebracht op 30 januari 2025.
