阿卡瓦安全公司發現六項亞馬遜雲端服務的重大漏洞

波士頓,2024年8月7日 (環球新聞網) – 雲端原生安全先驅Aqua Security今日公佈其網路研究團隊Nautilus針對六項AWS服務發現的重大漏洞研究成果。這些漏洞可能導致遠端程式碼執行(RCE)、完全控制服務使用者帳號並獲得強大的管理權限、操縱AI模組、洩露敏感資料、資料外洩和阻斷服務等嚴重影響。AWS已迅速確認並修補這些漏洞。

Aqua Security資深研究員Yakir Kadkoda表示:「在AWS上建立新服務時,存在著內部依賴關係和複雜性,使用者和開發人員可能會不知情。我們發現在某些情況下,攻擊者可能會利用這些缺口獲取並控制AWS帳號。」

這些漏洞發現於以下AWS服務:CloudFormation、Glue、EMR、SageMaker、ServiceCatalog和CodeStar。當在新區域首次建立上述任一服務時,系統會自動建立一個特定命名的S3儲存貯體。這個命名由服務名稱、AWS帳號ID(在大部分上述服務中)和區域名稱組成。因此,在所有AWS區域中,儲存貯體名稱保持一致,僅區域名稱有所不同。

Aqua Nautilus發現攻擊者可以發現或猜測這些儲存貯體的名稱或可預測的部分。隨後,使用所謂的「儲存貯體壟斷」(Bucket Monopoly)方法,攻擊者可以預先在所有可用區域建立這些儲存貯體,實際上是進行土地佔領,然後在儲存貯體中存放惡意程式碼。

當目標組織在新區域首次啟用服務時,就會在不知情的情況下執行惡意程式碼,可能導致在目標組織中建立管理員使用者,將控制權交予攻擊者。

Aqua Nautilus安全研究員Ofek Itach說:「由於S3儲存貯體名稱在整個AWS中是唯一的,如果您佔領了一個儲存貯體,它就是你的,沒有人能再使用那個名稱。我們展示了S3如何成為『影子資源』,以及攻擊者如何輕鬆發現或猜測並利用它。」

Kadkoda補充說:「這項發現是Nautilus和Aqua的重要使命之一。我們的目標是提高雲端的安全性,讓組織能夠安全地使用雲端。我們負責任地向AWS安全團隊揭露這些發現,他們也做出專業回應,防止了可能成為攻擊者的大規模入口點,保護了許多組織的雲端環境。」

這項研究首次於8月7日星期三在黑帽大會上發表,完整的部落格內容將於8月9日星期五下午2:30(太平洋時間)/下午5:30(東部時間)在DEF CON會議上公佈,屆時可至Aquasec.com網站查閱。