Amazon Web Services (AWS) ha resuelto una vulnerabilidad entre inquilinos en su plataforma que un atacante podría utilizar como arma para obtener acceso no autorizado a los recursos.
El asunto se relaciona con un problema del diputado confundidoun tipo de escalada de privilegios donde un programa que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción.
Datadog informó la deficiencia a AWS el 1 de septiembre de 2022, luego de lo cual se envió un parche el 6 de septiembre.
«Este ataque abusa del servicio AppSync para asumir [identity and access management] papeles en otras cuentas de AWS, lo que permite a un atacante pasar a la organización víctima y acceder a los recursos de esas cuentas», dijo Nick Frichette, investigador de Datadog. dijo en un informe publicado la semana pasada.
En una divulgación coordinada, Amazon dijo que ningún cliente se vio afectado por la vulnerabilidad y que no se requiere ninguna acción del cliente.
Lo describió como un «problema de análisis de mayúsculas y minúsculas dentro de AWS AppSync, que podría usarse para omitir las validaciones de uso de roles entre cuentas del servicio y tomar medidas como el servicio en todas las cuentas de los clientes».
AWS AppSync ofertas desarrolladores API GraphQL para recuperar o modificar datos de múltiples fuentes de datos, así como sincronizar automáticamente datos entre aplicaciones móviles y web y la nube.
El servicio también se puede utilizar para integrarse con otros servicios de AWS a través de roles específicos diseñados para realizar las llamadas API necesarias con los permisos de IAM requeridos.
Si bien AWS cuenta con medidas de seguridad para evitar que AppSync asuma funciones arbitrarias mediante la validación del nombre de recurso de Amazon (ARN) de la función, el problema se deriva del hecho de que la verificación podría pasarse por alto al pasar el «serviceRoleArn«parámetro en minúsculas.
Luego, este comportamiento podría explotarse para proporcionar el identificador de un rol en una cuenta de AWS diferente.
«Esta vulnerabilidad en AWS AppSync permitió a los atacantes cruzar los límites de la cuenta y ejecutar llamadas a la API de AWS en las cuentas de las víctimas a través de roles de IAM que confiaban en el servicio de AppSync», dijo Frichette.
«Al usar este método, los atacantes podrían violar las organizaciones que usaron AppSync y obtener acceso a los recursos asociados con esos roles».