Bulut güvenlik firması Orca Security, 13 Ocak’ta yayınlanan bir analizde, Amazon Web Services’in temel hizmetlerinde, birinin herhangi bir kullanıcının herhangi bir şirketin altyapısına erişmesine ve bu altyapının kontrolünü ele geçirmesine izin verebilecek iki güvenlik açığı kapattığını söyledi.
Güvenlik açıkları artık düzeltilmiş olsa da, bir çekirdek hizmetten ödün vermeyi, ayrıcalıkları yükseltmeyi ve bu ayrıcalığı diğer kullanıcılara saldırmak için kullanmayı içeren saldırı zinciri Amazon ile sınırlı değil. Orca Security’nin baş teknoloji sorumlusu Yoav Alon, bu yöntemin diğer birçok bulut satıcısını etkilediğini söylüyor. Sorunun temelinde, hizmetler arasındaki izolasyon eksikliği ve farklı hizmetlerin ve kullanıcıların izinlerinde çok az ayrıntı düzeyi olduğunu söylüyor.
Şirket, benzer sorunları diğer bulut hizmetlerine zaten bildirmişti, ancak Alon, şirketin açıklama süreci tamamlanana kadar bu güvenlik açıkları hakkında ayrıntı vermeyecekti.
“Bunların bir sonraki büyük kritik güvenlik açıkları dalgası olduğuna inanıyoruz çünkü güveni veri merkezlerimizden bulut hizmetlerine taşıdık ve yaptığımız iyi bir şey çünkü güvenlikte çoğu şirketten daha iyiler” diyor. “Artık bulut sağlayıcınızda olan bir sorun sizi etkiliyor ve siz bunun farkında bile olmayabilirsiniz.”
İki güvenlik açığından en önemlisi, AWS kullanıcılarının verileri yönetmesine, temizlemesine ve dönüştürmesine olanak tanıyan ve veri deposunu kullanıcının diğer hizmetleri için kullanılabilir hale getiren sunucusuz bir entegrasyon hizmeti olan AWS Glue’da meydana geldi. Saldırganlar bu kusuru kullanarak hizmetin güvenliğini tehlikeye atabilir ve yönetici olabilir – ve Glue hizmeti güvenilir olduğu için diğer kullanıcıların ortamlarına erişmek için rollerini kullanabilirler.
Bu istismar, Orca’nın araştırmacılarının “hesap içindeki ayrıcalıkları, tam yönetici ayrıcalıkları da dahil olmak üzere bölgedeki hizmet için tüm kaynaklara sınırsız erişime sahip olduğumuz noktaya yükseltmesine” izin verdi. tavsiyesinde belirtilen.
Orca’nın araştırmacıları, Glue hizmetiyle güvenilir bir ilişkisi olan diğer AWS müşterilerinin hesaplarında roller üstlenebilir. Orca, Glue hizmetini kullanan her hesabın Glue hizmetine güvenen en az bir rolü olduğunu iddia eder.
CloudFormation (CF) hizmetindeki, kullanıcıların kaynakları ve bulut varlıklarını tedarik etmesine olanak tanıyan ikinci bir güvenlik açığı, araştırmacıların bir CF sunucusunun güvenliğini aşmasına ve bir AWS altyapı hizmeti olarak çalışmasına izin verdi. Bir XML Harici Varlık (XXE) sorunu olan güvenlik açığı, saldırıların farklı AWS kullanıcılarını izole eden korumaları delip geçmesine izin vermiş olabilir. Orca Security ikinci bir danışma belgesinde belirtildi.
Alon, bulut sağlayıcıların, saldırganların genel bulutun güvenlik modelini tehlikeye atmak için bir çekirdek hizmetteki güvenlik açıklarını kullanmasını önlemek için hizmetlerinin yalıtımını iyileştirmeye çalışması gerektiğini söylüyor. Benzer bir sorun, bulut güvenlik firması Wiz.io’daki araştırmacıların Microsoft’un bir veri bilimi özelliği olan Jupyter Notebook’ları ve bir hizmet olarak Cosmo DB veritabanını entegre etme biçiminde bir kusur bulduğu Ağustos 2021’de Azure’u etkiledi. Saldırganlar Jupyter Notebook’ları kullanarak diğer kullanıcıların Cosmo DB örneklerine erişebilir.
AWS güvenlik açıkları, bulut modelinin avantajlarını ve dezavantajlarını vurgular. Bulut sağlayıcılarını etkileyen güvenlik sorunları genellikle her müşteriyi riske sokar ve çoğu müşterinin verilerini ve ortamlarını korumak için yapabileceği çok az şey vardır. Bunu Log4j güvenlik açığı gibi yaygın yazılım sorunlarıyla karşılaştırın: Güvenlik ve BT ekipleri sorunu yamalayabilir, saldırıları izlemeye devam edebilir ve geçici çözümler koyabilir.
Yine de, Log4j sorununu ortadan kaldırmak bir sorun olmaya devam ediyor çünkü farklı şirketler sorunu farklı oranlarda yamalıyor. Orca bunu buldu müşterilerinin dörtte üçü sorun açıklandıktan iki hafta sonra hala Log4j güvenlik açıklarına karşı savunmasızdı. Öte yandan Amazon, güvenlik firmasına göre Orca tarafından keşfedilen Glue kusurunu 48 saat içinde ve CloudFormation sorununu altı gün içinde yamaladı.
Alon, “Bulut sağlayıcıları muazzam bir güvenlik işi yapıyor, ancak hala sorunlar var” diyor. “Daha iyi bölümlere ayrılırlarsa ve hizmetlerinde daha iyi bir izin sistemi oluştururlarsa, bu sorunların çoğunu önleyebilirler. Ayrıca ağlarını daha iyi bölümlere ayırmaları ve hizmetlerinde bir ihlal olması durumunda daha iyi bir güvenlik modeline sahip olmaları gerekir.”
Orca Security, sorunları Eylül ve Ekim aylarında keşfetti. Güvenlik açıklarını test etmek için sahte bir hesap kullandılar ve araştırmacıların diğer AWS müşterilerinin verilerini ifşa etmesini engellediler. Güvenlik açıkları Amazon tarafından düzeltildi ve düzeltmeleri doğrulamak için yamalar Orca tarafından test edildi.