Los actores de amenazas pueden aprovechar el servicio de token de seguridad de Amazon Web Services (AWS STS) como una forma de infiltrarse en cuentas de la nube y realizar ataques de seguimiento.
El servicio permite a los actores de amenazas hacerse pasar por identidades y roles de usuarios en entornos de nube, investigadores de Red Canary Thomas Gardner y Cody Betsworth. dicho en un análisis del martes.
AWS STS es un servicio web que permite a los usuarios solicitar credenciales temporales con privilegios limitados para que puedan acceder a los recursos de AWS sin necesidad de crear una identidad de AWS. Estos tokens STS pueden ser válidos entre 15 minutos y 36 horas.
Los actores de amenazas pueden robar tokens de IAM a largo plazo a través de una variedad de métodos, como infecciones de malware, credenciales expuestas públicamente y correos electrónicos de phishing, usándolos posteriormente para determinar roles y privilegios asociados con esos tokens a través de llamadas API.
«Dependiendo del nivel de permiso del token, los adversarios también pueden usarlo para crear usuarios IAM adicionales con tokens AKIA a largo plazo para garantizar la persistencia en caso de que se descubran su token AKIA inicial y todos los tokens ASIA a corto plazo que generó. y revocada», afirmó el investigador.
En la siguiente etapa, se utiliza un token STS autenticado por MFA para crear múltiples tokens nuevos a corto plazo, seguido de acciones posteriores a la explotación, como la exfiltración de datos.
Para mitigar dicho abuso de tokens de AWS, se recomienda registrar datos de eventos de CloudTrail, detectar eventos de encadenamiento de roles y abuso de MFA, y rotar las claves de acceso de usuarios de IAM a largo plazo.
«AWS STS es un control de seguridad crítico para limitar el uso de credenciales estáticas y la duración del acceso de los usuarios a través de su infraestructura de nube», dijeron los investigadores.
«Sin embargo, bajo ciertas configuraciones de IAM que son comunes en muchas organizaciones, los adversarios también pueden crear y abusar de estos tokens STS para acceder a recursos de la nube y realizar acciones maliciosas».