Se ha revelado una falla de seguridad crítica en la Galería pública de Amazon Elastic Container Registry (ECR) que podría haber sido potencialmente explotada para organizar una multitud de ataques, según la firma de seguridad en la nube Lightspin.
«Al explotar esta vulnerabilidad, un actor malicioso podría eliminar todas las imágenes en la Galería pública de Amazon ECR o actualizar el contenido de la imagen para inyectar código malicioso», dijo Gafnit Amiga, director de investigación de seguridad de Lightspin, en un comunicado. reporte compartido con The Hacker News.
«Este código malicioso se ejecuta en cualquier máquina que extrae y ejecuta la imagen, ya sea en las máquinas locales del usuario, en los clústeres de Kubernetes o en los entornos de nube».
ECR es un servicio de registro de imágenes de contenedores administrado por Amazon Web Services, lo que permite a los usuarios empaquetar código como imágenes de Docker e implementar los artefactos de manera escalable. Los repositorios públicos alojados en ECR se muestran en lo que se denomina Galería pública ECR.
«De forma predeterminada, su cuenta tiene acceso de lectura y escritura a los repositorios en su registro público», Amazon notas en su documentación. «Sin embargo, los usuarios de IAM requieren permisos para realizar llamadas a las API de Amazon ECR y enviar imágenes a sus repositorios».
Pero el problema identificado por Lightspin significaba que actores externos podrían utilizarlo como arma para eliminar, actualizar y crear versiones envenenadas de imágenes legítimas en registros y repositorios que pertenecen a otras cuentas de AWS aprovechando las API públicas de ECR internas no documentadas.
Esto se logra mediante la adquisición de credenciales temporales utilizando Amazon Cognito para autorizar solicitudes a las API internas y activar la acción para eliminar imágenes usando «DeleteImageForConvergentReplicationInternal» o, alternativamente, insertar una nueva imagen a través de la acción «PutImageForConvergentReplicationInternal».
Lightspin caracterizó la falla como una instancia de «ataque profundo de la cadena de suministro de software».
Amazon tiene desde implementó una solución para resolver la debilidad a partir del 16 de noviembre de 2022, menos de 24 horas después de que se informó, lo que indica la gravedad del problema. No se requiere ninguna acción del cliente.
«Esta vulnerabilidad podría conducir potencialmente a la denegación de servicio, la exfiltración de datos, el movimiento lateral, la escalada de privilegios, la destrucción de datos y otras rutas de ataque multivariadas que solo están limitadas por la astucia y los objetivos del adversario», señaló Amiga.
«Un actor malicioso podría envenenar imágenes populares, al tiempo que abusa del modelo de confianza de ECR Public, ya que estas imágenes se harían pasar por verificadas y, por lo tanto, socavarían la cadena de suministro de ECR Public».