Los investigadores de seguridad cibernética han descubierto roles de identidad y gestión de acceso por incumplimiento de riesgo (IAM) que afectan los servicios web de Amazon que podrían abrir la puerta a los atacantes para intensificar los privilegios, manipular otros servicios de AWS y, en algunos casos, incluso comprometer las cuentas de AWS por completo.
“Estos roles, a menudo creados automáticamente o recomendados durante la configuración, otorgan permisos demasiado amplios, como el acceso completo de S3”, los investigadores de Aqua Yakir Kadkoda y Ofek Itach dicho en un análisis. “Estos roles predeterminados introducen silenciosamente rutas de ataque que permiten la escalada de privilegios, el acceso a los servicios cruzados e incluso el compromiso potencial de la cuenta”.
La firma de seguridad en la nube dijo que identificaba problemas de seguridad en los roles de IAM predeterminados creados por servicios de AWS como Sagemaker, Glue, EMR y Lightsil. Un defecto similar también se ha descubierto en un popular marco de código abierto llamado Ray, que crea automáticamente un papel de IAM predeterminado (Ray-AutoScaler-V1) con la política de Amazons3FullAccess.
Lo que es consciente de estos roles IAM es que, si bien están destinados a algo específico, podrían abusar de realizar acciones administrativas y romper los límites de aislamiento entre los servicios, permitiendo efectivamente a un atacante que tiene un punto de apoyo en el entorno para moverse lateralmente a través de los servicios.
Estos ataques van más allá de los ataques de monopolio de cubos, que giran en torno a un escenario en el que un actor de amenaza podría aprovechar los patrones predecibles de nombres de cubos S3 para establecer cubos en las regiones de AWS no utilizadas y finalmente obtener control sobre el contenido de la cubierta cuando un cliente legítimo comienza a usar servicios como CloudFormation, Glue, EMR, Sagemaker, ServiceCatalog y Codestar.
“En este caso, un atacante que gana acceso a un papel de servicio predeterminado con Amazons3fulLaccess ni siquiera necesita adivinar los nombres de cubos de forma remota”, explicaron los investigadores.
“Pueden usar sus privilegios existentes para buscar en la cuenta los cubos utilizados por otros servicios utilizando los patrones de nombres, Modificar activos como las plantillas de CloudFormationScripts EMR y recursos de Sagemaker, y se mueven lateralmente a través de los servicios dentro de la misma cuenta de AWS “.
Dicho de otra manera, un papel de IAM dentro de una cuenta de AWS con los permisos de Amazons3Fullaccess tiene acceso de lectura/escritura a cada cubo S3 y modifica varios servicios de AWS, convirtiendo efectivamente el papel en un poderoso método para el movimiento lateral y la escalada de privilegios.
Algunos de los servicios identificados con la política permisiva se enumeran a continuación –
- Amazon Sagemaker AI, que crea un rol de ejecución predeterminado llamado AmazonSageMaker-E-ExecutionRole-
Al configurar un dominio de Sagemaker que viene con una política personalizada equivalente a Amazons3fulLaccess - AWS Glue, que crea un papel predeterminado de AwsGlueservicerole con la política de Amazons3FullAccess
- Amazon EMR, que crea un amazonemrstudio_runtimerole_ predeterminado
Política de Amazons3FullAccess que se le asignó
En un escenario de ataque hipotético, un actor de amenaza podría cargar un modelo de aprendizaje automático malicioso para abrazar la cara que, cuando se importan a Sagemaker, puede resultar en la ejecución de un código arbitrario, que luego podría usarse para confiscar el control de otros servicios de AWS como el Glumbe al inyectar una puerta trasera capaz de robar las credenciales IAM de IAM del trabajo de GLUE.
El adversario podría aumentar sus privilegios dentro de la cuenta, en última instancia, violando todo el entorno de AWS buscando cubos utilizados por CloudFormation e inyectando una plantilla maliciosa para aumentar aún más los privilegios.
En respuesta a la divulgación, AWS ha abordado los problemas modificando la política de Amazons3FulLaccess para los roles de servicio predeterminados.
“Los roles de servicio predeterminados deben estar estrechamente alcanzados y estrictamente limitados a los recursos y acciones específicos que requieren”, dijeron los investigadores. “Las organizaciones deben auditar y actualizar de manera proactiva los roles existentes para minimizar el riesgo, en lugar de depender de las configuraciones predeterminadas”.
Los hallazgos se producen cuando Varonis detalló una vulnerabilidad en una utilidad utilizada para el montaje de almacenamiento de Azure que viene preinstalado en Microsoft Azure AI y las cargas de trabajo informáticas de alto rendimiento (HPC) y permite a un usuario no privilegiado en una máquina Linux con esta utilidad instalada para aumentar sus privilegios a la raíz.
“Implica un método de escalada de privilegio clásico que involucra un binario suid que forma parte de la instalación de Aznfs-montajeuna utilidad para montar la cuenta de almacenamiento de Azure NFS Puntos finales “, el investigador de seguridad Tal Peleg dicho.
“Por ejemplo, un usuario podría elevar los permisos para rootear y usar esos permisos para montar contenedores de almacenamiento Azure adicionales, instalar malware o ransomware en la máquina e intentar moverse lateralmente en los entornos de red o nube”.
El defecto, que afecta todas las versiones de la utilidad hasta 2.0.10, se ha abordado en Versión 2.0.11 Lanzado el 30 de enero de 2025.
About the Author
