Dutch IT Chanel Logo mobile
Search icon
Witold Kepinski - 18 november 2020

Unit 42: Lekken in Resource-Based Policy API’s van AWS

Security Data protection Cloud
Unit 42: Lekken in Resource-Based Policy API’s van AWS image

Unit 42, het Threat Intelligence-team van Palo Alto Networks, heeft een nieuw onderzoek uitgebracht naar de ontdekking van 22 AWS-API's in 16 AWS-services die kunnen worden misbruikt om informatie te lekken.

De belangrijkste bevindingen zijn:

Grote AWS-services die mogelijk zijn beïnvloed: onder andere Amazon S3, Amazon KMS en Amazon SQS.

Moeilijk te traceren: de sluikse eigenschap van de exploit maakt opsporing en preventie moeilijk. Aanvallers hebben onbeperkte tijd om zowel willekeurige als doelgerichte AWS-accounts te verkennen, zonder zich zorgen te hoeven maken dat ze worden opgemerkt.

Kan leiden tot misconfiguraties in de cloud: een kwaadwillende actor kan het rooster van een account bemachtigen, de interne structuur van de organisatie leren kennen en zo gerichte aanvallen op individuen opzetten. In een recente Red Team-oefening hebben onderzoekers van Unit 42 het cloudaccount van een klant met duizenden workloads gecompromitteerd met behulp van een verkeerd geconfigureerde IAM-rol die door deze exploit wordt geïdentificeerd.

S3

De hoofdoorzaak van het probleem is dat de AWS-backend proactief alle research-based policies valideert die zijn gekoppeld aan bronnen zoals Amazon Simple Storage Service (S3) -buckets en door de klant beheerde keys. Research-based policy bevat gewoonlijk een Principal-veld dat de identiteiten die toegang hebben tot de bron specificeert. Als de policy een niet-bestaande identiteit bevat, mislukt de API-aanroep die de policy maakt of bijwerkt, met een foutbericht.

Deze handige functie kan echter worden misbruikt om te controleren of er een identiteit bestaat in een AWS-account. Hackers kunnen deze API's herhaaldelijk aanroepen met verschillende principals om de gebruikers in een gericht account op te sommen.

Wat kun je doen?
Een goede IAM-veiligheidshygiëne kan de bedreigingen van dit type aanval effectief verminderen. Hoewel het niet mogelijk is om te voorkomen dat een aanvaller identiteiten opslaat in AWS-accounts, kan de opsomming moeilijker worden gemaakt en kun je controleren op verdachte activiteiten die zijn ondernomen na de verkenning.

Je vindt het hele onderzoek hier.

Dutch IT events

Event icon

Event

Future of Business Technology - 23 april 2024

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events

Over Witold Kepinski

Witold Kepinski

Witold Kepinski (1969) is Editor-in-Chief en Director Content en mede-aandeelhouder van Dutch IT Channel en Dutch IT Leaders. Witold Kepinski is 25 jaar actief in de IT Media en Tech Business branche

Witold Kepinski geeft met een gespecialiseerd team van redacteuren, bloggers en videomakers inzicht in tech business trends en toepassingen waarmee IT-beslissers en Channel Partners impact maken.

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!