Amazon Web Services corectează vulnerabilitatea „Superglue”.

Echipa Orca Security Research a dezvăluit public defecte în două instrumente Amazon Web Services (AWS) care ar fi putut permite accesul neautorizat la conturi și ar fi folosit pentru a scurge fișiere sensibile. Ambele erori au fost complet corectate.

Gumă excelentă

Prima eroare numită Orca Gumă excelentă, a fost o problemă cu AWS Glue pe care utilizatorii o puteau exploata pentru a accesa informațiile gestionate de alți utilizatori AWS Glue.

Servicii web Amazon (AWS) Descrie Gum ca „Un serviciu de integrare a datelor fără server care facilitează descoperirea, pregătirea și integrarea datelor pentru analiză, învățarea automată și dezvoltarea de aplicații”. Este corect să spunem că clienții AWS îl folosesc pentru a gestiona cantități mari de date. Atât de mare, de fapt, încât AWS le permite utilizatorilor Glue să stocheze până la un milion de obiecte gratuit.

„Am putut defini o caracteristică în AWS Glue care ar putea fi exploatată pentru a obține acreditări de rol în contul unui serviciu AWS”, spune Orca, oferindu-ne acces deplin la API-ul intern al serviciului. Pe lângă configurarea greșită a elementelor interne din API-ul Glue Service intern, am putut să creștem privilegiile din cont până la punctul în care am avut acces nerestricționat la toate resursele de servicii din regiune, inclusiv privilegiile administrative complete. „

Compania spune că a reușit să exploateze acest defect pentru:

1. Preluați roluri pe conturile de clienți AWS în care Glue are încredere. În fiecare cont care folosește lipici, există cel puțin un astfel de rol.
2. Interogați și modificați resursele legate de AWS Glue într-o regiune. Aceasta include, dar nu se limitează la, metadate pentru: lucrări de lipire, puncte finale de dezvoltare, fluxuri de lucru, crawler-uri și declanșatoare.

Orca spune că a confirmat capacitatea de a accesa informațiile gestionate de alți utilizatori AWS Glue prin utilizarea mai multor conturi pe care le controlează; Compania nu a putut accesa datele nimănui în timp ce cerceta acest defect. De asemenea, mai spune că AWS a răspuns la dezvăluirea sa în câteva ore, a avut o ușurare parțială a doua zi și a atenuat complet problema „după câteva zile”.

formarea ruperii

Al doilea defect a afectat AWS CloudFormation, care a fost AWS spune „Vă permite să modelați, să furnizați și să gestionați resursele AWS și ale terților, tratând infrastructura ca cod.” (Acest model de „infrastructură ca cod” devine din ce în ce mai popular în rândul companiilor care doresc să facă configurarea și întreținerea rețelelor și instrumentelor lor mai convenabile pe măsură ce trec în cloud.)

orca Apel Al doilea defect este BreakingFormation și spune că „ar fi putut fi folosit pentru a scurge fișiere sensibile de pe un server vulnerabil și pentru a face cererile de pe server (SSRF) vulnerabile la dezvăluirea neautorizată a acreditărilor serviciilor de infrastructură internă ale AWS”. Se spune că defectul a fost „complet atenuat în 6 zile” de la dezvăluirea lui AWS.

PC Note VP AWS Colm MacCárthaigh a oferit mai multe informații despre eroarea BreakingFormation pe Twitter. Primul tweet al lui MacCarthaigh a răspuns la afirmația că defectul arăta că Orca „a obținut acces la toate resursele AWS pe toate conturile AWS!” după cum urmează:

Orca CTO Yoav Alon, de asemenea ciripit Domeniul de aplicare al CloudFormation nu a fost atât de larg pe cât îl făcea Tweetul original. Urmărește-l pe MacCárthaigh cu un subiect despre descoperirile lui Orca: