Amazon Web Services (AWS), platformunda, bir saldırganın kaynaklara yetkisiz erişim elde etmek için silah haline getirebileceği, kiracılar arası bir güvenlik açığını çözdü.
Sorun bir şaşkın vekil sorunubir eylem gerçekleştirme izni olmayan bir programın daha ayrıcalıklı bir varlığı eylemi gerçekleştirmeye zorlayabileceği bir ayrıcalık yükseltme türü.
Eksiklik, Datadog tarafından 1 Eylül 2022’de AWS’ye bildirildi ve ardından 6 Eylül’de bir yama gönderildi.
“Bu saldırı, AppSync hizmetini kötüye kullanır. [identity and access management] roller Datadog araştırmacısı Nick Frichette, “bir saldırganın bir kurban kuruluşa dönmesine ve bu hesaplardaki kaynaklara erişmesine olanak tanıyan diğer AWS hesaplarında” söz konusu geçen hafta yayınlanan bir raporda.
Koordineli bir açıklamada, Amazon söz konusu güvenlik açığından hiçbir müşterinin etkilenmediği ve herhangi bir müşteri eyleminin gerekmediği.
Bunu “AWS AppSync içinde, hizmetin hesaplar arası rol kullanım doğrulamalarını atlamak ve müşteri hesaplarında hizmet olarak işlem yapmak için potansiyel olarak kullanılabilecek bir büyük/küçük harf duyarlılığı ayrıştırma sorunu” olarak tanımladı.
AWS AppSync teklifler birden fazla veri kaynağından veri almak veya değiştirmek ve ayrıca verileri mobil ve web uygulamaları ile bulut arasında otomatik olarak senkronize etmek için geliştiriciler GraphQL API’leri.
Hizmet, gerekli IAM izinleriyle gerekli API çağrılarını gerçekleştirmek için tasarlanmış belirli roller aracılığıyla diğer AWS hizmetleriyle entegre olmak için de kullanılabilir.
AWS’nin, rolün Amazon Kaynak Adını (ARN) doğrulayarak AppSync’in rastgele roller üstlenmesini önleyecek korumaları olsa da sorun, “hizmetRoleArn” parametresi küçük harfle yazılır.
Bu davranış, daha sonra farklı bir AWS hesabındaki bir rolün tanımlayıcısını sağlamak için kullanılabilir.
“AWS AppSync’teki bu güvenlik açığı, saldırganların hesap sınırlarını aşmasına ve AppSync hizmetine güvenen IAM rolleri aracılığıyla kurban hesaplarında AWS API çağrıları yürütmesine izin verdi.”
“Saldırganlar bu yöntemi kullanarak AppSync kullanan organizasyonları ihlal edebilir ve bu rollerle ilişkili kaynaklara erişim sağlayabilir.”