AWS İdare Rolü ve Güvenlik Riskleri
Son dönemde siber güvenlik araştırmacıları, Amazon Web Services (AWS) üzerinde bulunan varsayılan kimlik ve erişim yönetimi (IAM) rollerinin ciddi güvenlik açıkları barındırdığını ortaya koydu. Bu roller, saldırganların yetki yükseltmesi yaparak diğer AWS hizmetlerini manipüle etmesine ve bazı durumlarda AWS hesaplarının tam anlamıyla tehlikeye girmesine zemin hazırlayabilir.
Aqua araştırmacıları Yakir Kadkoda ve Ofek Itach, yaptıkları analizde, “Bu roller genellikle otomatik olarak oluşturulur veya kurulum sırasında önerilir ve geniş izinler, örneğin tam S3 erişimi gibi, sunar” şeklinde belirttiler. Varsayılan rollerin sunduğu bu gibi izinler, saldırganların yetki yükseltmesi, hizmetler arası erişim ve hesapların tehlikeye girmesi gibi potansiyel saldırı yolları yaratmaktadır.
Varsayılan IAM Rollerinin Sorunları
Siber güvenlik firması, AWS hizmetleri tarafından oluşturulan varsayılan IAM rollerindeki güvenlik sorunlarını belirlemiştir. Bu hizmetler arasında SageMaker, Glue, EMR ve Lightsail bulunmaktadır. Ayrıca, popüler bir açık kaynak çerçevesi olan Ray‘de de benzer bir hata tespit edilmiştir. Ray, otomatik olarak bir varsayılan IAM rolü (ray-autoscaler-v1) oluşturmakta ve bu rol, AmazonS3FullAccess politikasını içermektedir.
Bu IAM rollerinin endişe verici yanı, belirli bir amaca yönelik olmalarına rağmen, idari eylemler gerçekleştirmek ve hizmetler arasındaki izolasyon sınırlarını aşmak için kötüye kullanılmalarıdır. Dolayısıyla, ortamda bir erişimi olan bir saldırgan, hizmetler arasında yatay hareket edebilir.
Tehdit Senaryoları ve Saldırı Yöntemleri
Saldırılar, kurbanın AWS kaynaklarını kullanması durumunda, tahmin edilebilir S3 bucket isimlendirme kalıplarını kullanarak saldırganların kullanılmayan AWS bölgelerinde bucket oluşturmasına olanak tanıyan bucket monopolü saldırısı gibi durumları kapsamaktadır.
Araştırmacılar, "Bu durumda, AmazonS3FullAccess’a sahip bir varsayılan hizmet rolüne erişim sağlayan bir saldırganın, uzaktan bucket isimlerini tahmin etmesine bile gerek yoktur," açıklamasında bulundular. Mevcut yetkilerini kullanarak başka hizmetlerin kullandığı bucket’ları arayabilir, varlıkları değiştirerek ilerleyerek diğer AWS hizmetlerine geçiş sağlayabilirler.
IAM rollerinin AmazonS3FullAccess izinlerine sahip olması, her S3 bucket’ına yazma/okuma erişimi sağlamakta ve çeşitli AWS hizmetlerini değiştirmeye olanak vermektedir. Böylece, bu roller, yatay hareket ve yetki yükseltmesi için güçlü bir araç haline gelmektedir.
AWS Güvenlik Açıkları ve Yanıtları
Belirlenen bazı hizmetler, izinli politikalar ile aşağıda sıralanmıştır:
- Amazon SageMaker AI, bir SageMaker alanı ayarlarken, AmazonS3FullAccess ile eşdeğer bir özel politika içeren varsayılan bir çalışma rolü olan AmazonSageMaker-ExecutionRole- oluşturur.
- AWS Glue, AmazonS3FullAccess politikası ile varsayılan bir AWSGlueServiceRole rolü oluşturur.
- Amazon EMR, AmazonS3FullAccess politikasına atanan varsayılan bir AmazonEMRStudioRuntimeRole oluşturur.
Hayali bir saldırı senaryosunda, bir tehdit aktörü Hugging Face‘e zararlı bir makine öğrenimi modeli yükleyebilir. Bu model, SageMaker’a aktarıldığında, rastgele kod çalıştırarak, diğer AWS hizmetlerini kontrol altına almak için arka kapı enjekte edebilir.
Saldırgan, hesap içindeki yetkilerini artırarak, CloudFormation tarafından kullanılan bucket’ları arayarak, daha fazla yetki kazanmak amacıyla kötü bir şablon enjekte edebilir.
AWS, bu güvenlik açıklarını bildirdiği için, varsayılan hizmet rollerinin AmazonS3FullAccess politikasında değişiklik yaparak durumu düzeltmeye çalışmıştır. Araştırmacılar, "Varsayılan hizmet rollerinin, ihtiyaç duydukları belirli kaynaklar ve eylemler ile sıkı bir şekilde sınırlandırılması gerekmektedir," şeklinde uyarılarda bulundular. "Örgütler, riskleri en aza indirmek için mevcut rolleri proaktif bir şekilde denetlemeli ve güncellemelidir. Varsayılan yapılandırmalara güvenmek, yeterli bir önlem değildir."
Diğer Bulunan Güvenlik Açıkları
Varonis, Microsoft Azure AI ve Yüksek Performanslı Hesaplama (HPC) iş yüklerinde önceden yüklenmiş Azure Storage‘ı monte etmek için kullanılan bir yardımcı programda bulunan bir güvenlik açığını detaylandırdı. Bu güvenlik açığı, belirtilen yardımcı program yüklü olan bir Linux makinesindeki bir yetkisiz kullanıcının kök yetkilerle yetkilerini artırmasına olanak sağlar.
Güvenlik araştırmacısı Tal Peleg, "Bu, Azure Storage Hesabı NFS uç noktalarını monte etmek için AZNFS-mount isimli bir yardımcı programın kurulumu ile ilgili klasik bir yetki yükseltme yöntemini içermektedir," şeklinde belirtti. Örneğin, bir kullanıcı kök izinlerini artırabilir, ek Azure Storage konteynerlerini monte edebilir, makineye zararlı yazılımlar veya fidye yazılımları yükleyebilir ve ağ veya bulut ortamında yatay hareket etmeyi deneyebilir.
Bu güvenlik açığı, 2.0.10 sürümüne kadar olan tüm versiyonları etkilemektedir ve 2025 yılında yayımlanan 2.0.11 versiyonu ile düzeltilmiştir.
Bu konuyla ilgili daha fazla bilgi almak için sosyal medya hesaplarımızdan bizi takip edebilirsiniz.
