Araştırmacılar, saldırganların bulut hesaplarının statik genel IP adreslerini ele geçirmek ve bunları çeşitli kötü amaçlarla kötüye kullanmak için Amazon Web Services’teki (AWS) yeni bir özelliği tehlikeye atabileceğini buldu.
Tehdit aktörleri, Amazon Sanal Özel Bulut (VPC) Elastik IP (EIP) aktarım özelliğini başka birinin EIP’sini çalmak ve bunu kendi komuta ve kontrolleri (C2) olarak kullanmak veya kurbanın kimliğine bürünen kimlik avı kampanyaları başlatmak için kullanabilir, araştırmacılar bulut olay müdahale firması Mitiga’dan bir blog yazısı 20 Aralık’ta.
Araştırmacılar ayrıca, saldırganların çalınan EIP’yi bir kurbanın kendi güvenlik duvarı korumalı uç noktalarına saldırmak için veya veri hırsızlığı fırsatlarını genişletmek için orijinal kurbanın ağ uç noktası olarak hizmet etmek için kullanabileceğini söyledi.
“Bir EIP’yi ele geçirerek ve onu kötü amaçlarla kullanarak kurbana verilebilecek olası zarar, kurbanın adının kullanılması, kurbanın diğer bulut sağlayıcılarındaki/kurum içi diğer kaynaklarının tehlikeye atılması ve [stealing the] Mitiga’daki yazılım mühendisi Or Aspir, gönderide kurbanın müşterilerinin bilgileri” yazdı.
Tehdit aktörlerinin, araştırmacıların “ilk taviz sonrası saldırı” olarak adlandırdığı yeni saldırı vektöründen yararlanmak için bir kuruluşun AWS hesabında zaten izinleri olması gerekir.
Bununla birlikte, özellik eklenmeden önce saldırı mümkün olmadığı ve henüz MITRE ATT&CK Çerçevesinde listelenmediği için, araştırmacılar, mevcut güvenlik korumaları tarafından yakalanma olasılığı düşük olduğundan, kuruluşlar buna karşı savunmasız olduklarının farkında olmayabilirler. söz konusu.
Aspir, “Kurbanın AWS hesabında doğru izinlerle, tek bir API çağrısı kullanan kötü niyetli bir aktör, kurbanın kullandığı EIP’yi kendi AWS hesabına aktarabilir ve böylece fiilen bu hesap üzerinde kontrol sahibi olabilir” diye yazdı. “Çoğu durumda, saldırının etkisini büyük ölçüde artırmaya ve daha da fazla varlığa erişim sağlamaya izin veriyor.”
Esnek IP Aktarımı Nasıl Çalışır?
AWS, EIP’yi Ekim ayında Elastik IP adreslerinin bir AWS hesabından diğerine aktarılmasına izin veren meşru bir özellik olarak kullanıma sunmuştur. Bir Elastik IP (EIP) adresi, İnternetten erişilebilen ve web sitesi barındırma veya aşağıdaki ağ uç noktalarıyla iletişim kurma gibi Web’e yönelik etkinlikler için bir Elastic Compute Cloud (EC2) örneğine tahsis edilebilen genel ve statik bir IPv4 adresidir. bir güvenlik duvarı.
Araştırmacılar, AWS’nin EIP’yi herhangi bir AWS hesabına (hatta bir kişiye veya kuruluşuna ait olmayan AWS hesaplarına) aktararak AWS hesabının yeniden yapılandırılması sırasında Elastik IP adreslerinin taşınmasını kolaylaştırmak için bu özelliği kullanıma sunduğunu söyledi.
Aspir, bu özellik sayesinde aktarımın “AWS hesapları – kaynak hesap (standart bir AWS hesabı veya bir AWS Kuruluşları hesabı) ve aktarım hesabı arasında yalnızca iki adımlı bir el sıkışma” olduğunu açıkladı.
Esnek IP Aktarımının Kötüye Kullanımı
Araştırmacılar, EIP’lerin artık kolayca aktarılabilmesinin kasıtsız bir sorun yarattığını, ancak – meşru hesap sahipleri için IP aktarma sürecini kesinlikle kolaylaştırırken, aynı zamanda kötü niyetli aktörler için de kolaylaştırdığını söyledi.
Araştırmacılar, saldırganların halihazırda mevcut EIP’leri ve durumlarını “görmelerine” izin veren izinlere sahip olduklarını veya diğer bilgisayar kaynaklarıyla ilişkili olup olmadıklarını varsayarak, saldırganların EIP aktarımından nasıl yararlanabileceklerini göstermek için temel bir senaryo açıkladılar.
Araştırmacılar, tipik olarak, EIP’ler ilişkilendirilir, ancak bazen bir kuruluş daha sonra kullanmak üzere veya kullanılmayan kaynakları tutan yönetilmeyen bir ortamın bir sonucu olarak ayrıştırılmış EIP’yi tutar. Aspir, “Her iki durumda da, saldırganın yalnızca EIP aktarımını etkinleştirmesi gerekir ve IP adresi onlarındır,” diye yazdı.
Araştırmacılar, saldırganların bunu doğru izinlerle iki şekilde yapabileceğini söyledi: ya ayrık bir EIP’yi aktarın ya da ilişkili bir EIP’nin ilişkisini kaldırın ve ardından aktarın.
Birincisi için, bir saldırganın AWS’deki ekli Kimlik ve Erişim Yönetimi (IAM) politikasında şu eyleme sahip olması gerekir: elastik IP adreslerinde ve IP adreslerinin eklendiği ağ arabirimlerinde “ec2:DisassociateAddress” eylemi.
Araştırmacılar, bir EIP’yi aktarmak için, bir tehdit aktörünün ekli IAM politikasında şu eylemleri gerçekleştirmesi gerektiğini söyledi: Saldırganın aktarmak istediği tüm IP adreslerinde “ec2:DescribeAddresses” ve EIP adresinde “ec2:EnableAddressTransfer”.
Çalıntı EIP’den Yararlanma
Bir tehdit aktörünün, bir başkasının EIP’sini başarılı bir şekilde kendi kontrolüne aktardıktan sonra girişebileceği çok çeşitli saldırı senaryoları vardır.
Araştırmacılar, örneğin kurban tarafından kullanılan harici güvenlik duvarlarında, belirli bir IP adresinde bir izin verme kuralı varsa, bir saldırganın güvenlik duvarlarının arkasındaki ağ uç noktalarıyla iletişim kurabileceğini söyledi.
Ayrıca, kurbanın Route53 hizmeti gibi DNS sağlayıcılarını kullandığı durumlarda, hedefin aktarılan IP adresi olduğu “A” tipi DNS kayıtları olabilir. Araştırmacılar, bu durumda, bir saldırganın meşru bir kurbanın etki alanı altında kötü amaçlı bir Web sunucusunu barındırmak için adresi kötüye kullanabileceğini ve ardından kimlik avı saldırıları gibi diğer kötü niyetli eylemleri başlatabileceğini söyledi.
Saldırganlar, çalınan IP adresini meşru görünen ve bu nedenle güvenlik savunmalarının radarından kaçan kötü amaçlı yazılım kampanyaları için C2 olarak da kullanabilir. Araştırmacılar, bir tehdit aktörü, bir EIP’yi çalışan bir uç noktadan ayırıp aktarırsa, kurbanın kamu hizmetlerinde hizmet reddine (DoS) bile neden olabilir.
Kimler Risk Altındadır ve Nasıl Azaltılır?
Araştırmacılar, bir AWS hesabında EIP kaynaklarını kullanan herkesin risk altında olduğunu ve bu nedenle EIP kaynaklarına AWS’de sızma tehlikesiyle karşı karşıya olan diğer kaynaklar gibi davranması gerektiğini tavsiye etti.
Kendilerini bir EIP aktarım saldırısından korumak için Mitiga, kuruluşların AWS hesaplarında en az ayrıcalık ilkesini kullanmalarını ve hatta ortamlarında gerekli bir özellik değilse EIP aktarma özelliğini tamamen devre dışı bırakmalarını önerir.
Araştırmacılar, bunu yapmak için bir kuruluştaki tüm hesaplar için kullanılabilir maksimum izinler üzerinde merkezi kontrol sunan hizmet kontrol ilkeleri (SCP’ler) gibi yerel AWS IAM özelliklerini kullanabilir. İşler.
