Исследователи из Aqua Security обнаружили уязвимости, с помощью которых злоумышленники могут угадывать названия контейнеров S3 на основе идентификаторов их публичных учетных записей.
Шесть критических уязвимостей в Amazon Web Services (AWS) могли позволить злоумышленникам атаковать организации с помощью удаленного выполнения кода (RCE), эксфильтрации, атак типа «отказ в обслуживании» или даже захвата учетных записей.
«Большинство уязвимостей считались критическими, поскольку они давали доступ к другим аккаунтам с минимальными усилиями со стороны злоумышленника», — рассказал Dark Reading ведущий исследователь безопасности Aqua Якир Кадкода.
Во время брифинга 7 августа на конференции Black Hat USA в Лас-Вегасе исследователи из Aqua Security сообщили, что обнаружили новые векторы атак с использованием уязвимостей «Bucket Monopoly» и «Shadow Resources». К затронутым сервисам AWS относятся Cloud Formation, CodeStar, EMR, Glue, SageMaker и Service Catalog.
Обнаружив уязвимости в феврале, исследователи Aqua сообщили о них AWS, которая подтвердила наличие проблем и развернула меры по смягчению последствий для соответствующих сервисов по частям в период с марта по июнь. Однако итерации с открытым исходным кодом все еще могут быть уязвимы.
«Монополия ведра»: атака на публичные идентификаторы аккаунтов AWS
Сначала исследователи обнаружили Bucket Monopoly — метод атаки, который может значительно повысить вероятность успеха атак, использующих контейнеры AWS S3, то есть онлайн-контейнеры для хранения объектов, таких как файлы или изображения, а также ресурсы, необходимые для хранения операционных данных.