Yeni araştırmalar, terk edilmiş bulut depolama kovalarının internet güvenliğine yönelik büyük, ancak büyük ölçüde gözden kaçan bir tehdit sunduğunu gösterdi.
Riskler, kötü aktörler bu ihmal edilen dijital depoları orijinal adları altında keşfettiklerinde ve yeniden kaydettiklerinde ve daha sonra bunlardan hala dosya isteyen herkese karşı kötü amaçlı yazılım sunmak veya diğer kötü niyetli işlemler yapmak için kullandıklarında ortaya çıkar.
Teorik tehditten uzak
Tehdit teorik olmaktan uzaktır ve zayıflık, son zamanlarda keşfedilen Watchtowr’dan araştırmacılar, aslında yararlanmak inanılmaz derecede kolaydır. Bulgular, geçen yıl yaptıkları önceki araştırmanın bir takibi olarak geldi. süresi dolmuş ve terk edilmiş internet alan adları.
İçin Son çalışmaAraştırmacılar ilk olarak dağıtım kodunda veya bir yazılım güncelleme mekanizmasında referans alınan Amazon AWS S3 kovalarını aradılar. Daha sonra, bu mekanizmaların S3 kovalarından imzasız veya doğrulanmamış yürütülebilir veya kodu aşağı çekip çekmediğini kontrol ettiler. Araştırmacılar, bir zamanlar bir hükümet kuruluşu, Fortune 500 şirketi, teknoloji şirketi, siber güvenlik satıcısı veya büyük açık kaynak projesinin yazılım dağıtım, güncellemeler, konfigürasyonlar ve benzer amaçlar için kullandığı ve daha sonra terk edildiği 150 S3 kova keşfettiler.
Ne olacağını kontrol etmek için WatchTowr, kullanılmayan kovaları orijinal adlarını toplam 400 $ karşılığında kaydetti ve her bir S3 kovasından kimin dosya talep edebileceğini görmelerini sağladı. Şirket ayrıca bu kullanıcıların depolama kaynaklarından ne talep edeceğini öğrenmek istedi. Şaşırtıcı bir şekilde, iki aylık bir dönemde, S3 kovaları, çoğu araştırmacıların kötü amaçlı yazılım veya başka bir kötü amaçlı eylemle çok kolay yanıt verebilecekleri şaşırtıcı 8 milyon dosya talebi aldı.
Terk edilmiş S3 kovalarından dosya talep edenler arasında ABD, İngiltere, Avustralya ve diğer ülkelerde devlet kurumları, Fortune 100 şirketleri, büyük bir ödeme kartı ağı, bir endüstriyel ürün şirketi, küresel ve bölgesel bankalar ve siber güvenlik şirketleri vardı.
WatchTowr araştırmacıları raporlarında, “S3 kovalarını silinirken ‘keskin nişan ediyorduk’ ya da bu S3 kovalarını kaydetmek için herhangi bir ‘gelişmiş’ teknik kullanmıyorduk.” Dedi. “Sadece … adı giriş kutusuna yazdık ve kayıt tıklamak için bir parmağın gücünü kullandık.”
WatchTowr’ın analizi, yazılım güncellemeleri de dahil olmak üzere çok çeşitli dosya aralığı için talep aldığını gösterdi; imzasız pencereler, Linux reklam macOS ikili dosyaları; sanal makine görüntüleri; JavaScript dosyaları; SSL VPN konfigürasyonları; ve AWS Cloud Altyapı Hizmetlerini kod olarak tanımlamak ve sunmak için CloudFormation Şablonları.
Araştırmacılar isteselerdi, bu taleplerden herhangi birine kötü amaçlı bir yazılım güncellemesi gibi şeylerle veya talep eden kuruluşun AWS ortamına veya geri yüklenen bir sanal makineye erişmelerine izin verecek bir şablonla önemsiz bir şekilde yanıt verebilirlerdi.
‘Korkunç derecede basit’ bulut siber saldırı vektörü?
“Ana paket,” diyor WatchTowr CEO’su Benjamin Harris, “hackerların nispeten bilinmeyen bir şekilde kötüye kullanılarak büyük, güneş ölçeği ölçekli bir tedarik zinciri saldırısı yaratabilmesinin korkunç bir yoludur. Güvenlik Açığı Terk edilmiş altyapı sınıfı. “
Çalışma AWS kovalarına odaklanırken, WatchTowr’a göre, birisinin orijinal adı kullanarak bulabileceği ve yeniden kayıt yaptırabileceği herhangi bir terk edilmiş bulut depolama kaynağıyla aynı riskler var.
“Bu kesinlikle bir AWS sorunu değil,” diyor Harris Dark Reading’e. “Bununla birlikte, hayati olan şey, AWS müşterilerinin bir bulut kaynağı oluşturulduktan, kaldırıldıktan ve kodda – örneğin bir yazılım güncelleme işleminde veya bir dağıtım kılavuzunda veya başka bir şekilde – bu referansın sonsuza dek var olacağını anladıklarıdır.” diyor. Bu referansın sonuçları, Watchtowr çalışmasının gösterdiği gibi kalıcı olarak hayatta kalacaktır, Dikkatli.
Harris’e göre, WatchTowr AWS’nin daha önce kullanılan isimler altında S3 kovalarının kaydedilmesine izin vermesini durdurmaya çalıştı.
“Kırık bir kayıt gibi, buradaki zorluğa en mantıklı çözümün daha önce kullanılan isimleri kullanarak S3 kovalarının kaydedilmesini önlemek olduğunu bizimle ilgilenen AWS ekipleriyle olan inancımızı paylaştık.” Bu yaklaşım, AWS S3 kovaları bağlamında bu güvenlik açığı sınıfını – terk edilmiş altyapı – tamamen öldürecektir.
“Her zaman olduğu gibi, kullanılabilirlik değişimi, S3 kovalarını hesaplar arasında aktarma yeteneği vb. Hakkında bir argüman var.” Diyerek şöyle devam etti: “Ancak bu gereksinimlerin araştırmamız yoluyla gösterdiğimiz etkiyi ağır olup olmadığını merak ediyoruz.”
AWS terk edilmiş S3 kova tehdidine yanıt verir
AWS, WatchTowr’ın tanımladığı S3 kovalarını hızla geçirdi, bu nedenle güvenlik satıcısının raporunda vurguladığı saldırı senaryoları, daha geniş sorun kalsa da aynı kaynaklara karşı çalışmayacak.
Bir AWS sözcüsü Dark Reading’e, “Bu blogda açıklanan sorunlar, müşteriler üçüncü taraf uygulamalar tarafından hala referans alınan S3 kovalarını sildiklerinde meydana geldi.” Diyerek şöyle devam etti: “AWS’yi bilgilendirmeden araştırmalarını yaptıktan sonra WatchTowr, AWS’ye kova adlarını sağladı ve müşterilerimizi korumak için bu belirli kovaların yeniden yaratılmasını engelledik.”
Bir açıklama sağlayan bir ifade, AWS’nin müşterilere en iyi bulut kovası uygulamaları konusunda ve istenmeyen yeniden kullanımı önlemek için kova adları oluştururken benzersiz tanımlayıcılar kullanma konusunda sağladığı rehberlik etti. Şirket ayrıca, başvuruların yalnızca müşteri sahip olduğu kovalara referans verecek şekilde yapılandırılmasını sağlama konusunda rehberlik sağladı, “2020’de başlattık. Kova Sahipliği Durumu Müşterileri, özellikle kova adlarının istenmeyen yeniden kullanılmasını önlemek için tasarlanmış bu mekanizmayı kullanmaya teşvik edin ve teşvik edin. “
Açıklama, şirketin hizmetlerini içeren araştırmalar yapmadan önce araştırmacıların şirketin güvenlik ekibiyle etkileşim kurmasını talep etti.
