AWS corrige les failles de sécurité qui exposaient les données des clients AWS

  • Principal
  • Nouvelles
  • AWS corrige les failles de sécurité qui exposaient les données des clients AWS

Amazon Web Services (AWS) a corrigé un problème de sécurité dans AWS Glue qui permettait aux attaquants d'accéder et de modifier les données liées à d'autres comptes clients AWS.

AWS Glue est un service d'intégration de données cloud sans serveur qui aide à découvrir, préparer et combiner des données pour le développement d'applications, l'apprentissage automatique et l'analyse.

La faille provenait de la fonctionnalité exploitable d'AWS Glue et d'une mauvaise configuration de l'API de service interne qui a permis aux chercheurs en sécurité d'Orca Security d'augmenter les privilèges pour accéder à toutes les ressources de service de la région.

« Au cours de nos recherches, nous avons pu identifier une fonctionnalité dans AWS Glue qui pourrait être exploitée pour obtenir des informations d'identification pour un rôle au sein du compte de service AWS, nous donnant un accès complet au service API interne », a expliqué Yanir Tsarimi, Cloud Researcher chez Security. chez Orca Sécurité.

'Combiné à une mauvaise configuration interne dans l'API de service interne de Glue, nous avons pu augmenter davantage les privilèges au sein du compte au point où nous avions un accès illimité à toutes les ressources du service dans la région, y compris les privilèges administratifs complets'.

Les chercheurs ont ajouté que leurs découvertes avaient été découvertes en utilisant uniquement des comptes AWS appartenant à Orca Security et qu'ils n'avaient pas accès aux informations ou aux données appartenant à d'autres clients AWS au cours de leur enquête.

Au cours de l'analyse de vulnérabilité, les chercheurs ont assumé des rôles de confiance pour le service Glue dans les comptes d'autres clients AWS (chaque compte ayant accès à Glue a au moins un de ces rôles).

Ils ont également pu interroger et modifier les ressources liées au service AWS Glue dans une région AWS, y compris, mais sans s'y limiter, les métadonnées des tâches Glue, les points de terminaison de développement, les flux de travail, les trackers et les déclencheurs.

L'équipe d'assistance d'AWS Glue a reproduit et confirmé la faille dans les heures qui ont suivi la réception du rapport d'Orca Security et a partiellement atténué le problème à l'échelle mondiale le lendemain matin.

Ils ont mis en œuvre une atténuation complète de la vulnérabilité Superglue en quelques jours, empêchant les attaquants potentiels d'accéder aux données client d'AWS Glue.

Une analyse des journaux remontant au lancement du service a été effectuée et nous avons définitivement déterminé que la seule activité associée à ce problème était entre les comptes appartenant au chercheur. Aucun autre compte client n'a été affecté. Toutes les actions effectuées par AWS Glue sur le compte d'un client sont enregistrées dans des journaux CloudTrail que les clients peuvent auditer et consulter. -AWS

L'équipe AWS Security a également corrigé une deuxième vulnérabilité découverte par Orca Security dans le service AWS CloudFormation (surnommé BreakingFormation).

Selon les chercheurs, cette faille XXE (XML External Entity) a conduit à la divulgation de fichiers et d'identifiants de services internes de l'infrastructure AWS.

'Notre équipe de recherche pense, compte tenu des données trouvées sur l'hôte (y compris les informations d'identification et les données relatives aux points de terminaison internes), qu'un attaquant pourrait exploiter cette vulnérabilité pour contourner les limites des locataires en leur donnant un accès privilégié à n'importe quelle ressource sur AWS', Tzah Pahima de Sécurité Orque. Additionnel.

Cependant, le vice-président d'AWS, Colm MacCárthaigh, a nié les affirmations de la société de sécurité, déclarant que le bogue BreakingFormation n'a peut-être été utilisé que pour accéder aux informations d'identification au niveau de l'hôte et que les hôtes AWS CloudFormation n'ont pas accès aux ressources de tous les comptes AWS.


Mise à jour le 13 janvier, 17h07 m. C'EST T : Un porte-parole d'AWS a envoyé la déclaration suivante après la publication de l'article :

Nous sommes conscients d'un problème avec AWS Glue ETL et AWS CloudFormation et pouvons confirmer qu'aucune donnée client ou compte AWS n'a été affecté. Après avoir appris ce problème d'Orca Security, nous avons pris des mesures immédiates pour l'atténuer en quelques heures et avons ajouté des vérifications supplémentaires aux services pour éviter qu'il ne se reproduise.

Qu'est-ce que tu penses?