WS帳戶因S3陰影儲存貯體而存在被入侵風險

攻擊者可以預先建立具有可預測名稱的S3儲存體,這些儲存體將被各種服務和工具自動使用,從而獲取AWS帳戶或敏感資料的存取權限。

研究人員發現了一種新的攻擊手法,可針對AWS服務或第三方自動佈建AWS S3儲存體貯體的專案進行攻擊。這種被稱為「暗影資源」(Shadow Resource)的新攻擊向量,可能導致AWS帳戶被駭、遠端程式碼執行或敏感資料外洩。

來自Aqua Security安全公司的研究人員發現有六種AWS服務會建立可預測命名的S3貯體,而且容易受到這種新的劫持技術威脅。他們在本週的Black Hat USA安全研討會上發表了研究成果。

暗影資源攻擊的過程是,攻擊者會先在其他AWS區域預先建立貯體,然後等待目標使用者在那些區域啟用易受攻擊的服務,導致敏感檔案和設定檔被儲存在攻擊者控制的貯體中。

Aqua公司確認,容易受到這種技術攻擊的AWS服務包括CloudFormation、Glue、EMR、SageMaker、ServiceCatalog和CodeStar。不過,研究人員指出,其他展現類似S3貯體佈建行為的AWS服務和第三方開源工具,仍可能存在此一攻擊向量的風險。

AWS發言人透過電子郵件告訴CSO:「AWS已獲知這項研究。我們可以確認已修補這個問題,所有服務都運作正常,客戶無需採取任何行動。」

具有後門潛力的暗影貯體
Aqua研究人員的調查起因是發現,每當AWS CloudFormation在新的AWS地理區域啟用時,都會在背景建立一個S3貯體。該S3貯體用於儲存使用者建立的CloudFormation範本,其命名格式為[固定前綴]-[唯一雜湊值]-[AWS區域名稱],例如cf-templates-123abcdefghi-us-east-1。

S3貯體名稱在整個AWS基礎架構中是唯一的,因此研究人員開始思考,如果攻擊者事先在不同區域註冊CloudFormation預期會建立的貯體名稱,會發生什麼情況。

貯體名稱的前綴和雜湊部分在各區域保持不變,只有區域部分會改變。所以,如果攻擊者能確定雜湊值,他們就可以在使用者尚未使用的區域預先註冊該貯體。雖然無法直接猜測雜湊值,但Aqua研究人員設法在GitHub的公開存放庫或開放的錯誤回報中找到這類雜湊值。

接下來他們想探究的是,當使用者在某區域部署該服務時,CloudFormation是否會使用已存在的攻擊者建立的貯體,或者會顯示錯誤訊息無法建立貯體。他們發現,只有當貯體未設定公開存取權限時,CloudFormation才會回應錯誤訊息,因為它無法將檔案寫入該貯體。

因此,如果攻擊者設定非常寬鬆的政策,允許該服務所需的操作並啟用公開存取,CloudFormation就會直接使用該惡意貯體。