Los investigadores de ciberseguridad han revelado una falla de seguridad que afecta el kit de desarrollo en la nube (CDK) de Amazon Web Services (AWS) y que podr\u00eda haber resultado en la apropiaci\u00f3n de una cuenta en circunstancias espec\u00edficas.<\/p>\n
“El impacto de este problema podr\u00eda, en ciertos escenarios, permitir que un atacante obtenga acceso administrativo a una cuenta de AWS objetivo, lo que resultar\u00eda en una apropiaci\u00f3n total de la cuenta”, dijo Aqua en un informe<\/a> compartido con The Hacker News.<\/p>\n Tras la divulgaci\u00f3n responsable el 27 de junio de 2024, los mantenedores del proyecto abordaron el problema en CDK versi\u00f3n 2.149.0<\/a> lanzado en julio.<\/p>\n AWS CDK<\/a> es un marco de desarrollo de software de c\u00f3digo abierto para definir recursos de aplicaciones en la nube utilizando Python, TypeScript o JavaScript y aprovisionarlos a trav\u00e9s de CloudFormation.<\/p>\n El problema identificado por Aqua se basa en hallazgos anteriores de la empresa de seguridad en la nube sobre los recursos ocultos en AWS y c\u00f3mo las convenciones de nomenclatura predefinidas para los dep\u00f3sitos de AWS Simple Storage Service (S3) podr\u00edan usarse como arma para orquestar ataques de Bucket Monopoly y obtener acceso a datos confidenciales.<\/p>\n La preparaci\u00f3n de un entorno de AWS para su uso con el kit de desarrollo en la nube de AWS (AWS CDK) se logra mediante un proceso llamado arranque, en el que ciertos recursos de AWS se aprovisionan al entorno. Esto incluye un dep\u00f3sito de AWS S3, un repositorio de Amazon Elastic Container Registry (Amazon ECR) y funciones de AWS Identity and Access Management (IAM).<\/p>\n “Los recursos y su configuraci\u00f3n que utiliza el CDK se definen en una plantilla de AWS CloudFormation”, seg\u00fan Documentaci\u00f3n de AWS<\/a>.<\/p>\n “Para iniciar un entorno, utilice el comando cdk bootstrap de la interfaz de l\u00ednea de comandos de AWS CDK (AWS CDK CLI). La CLI de CDK recupera la plantilla y la implementa en AWS CloudFormation como una pila, conocida como pila de arranque. De forma predeterminada, la pila El nombre es CDKToolkit.”<\/p>\n Algunos de los Funciones de IAM<\/a> creado como parte del proceso de arranque otorga permiso para cargar y eliminar activos del dep\u00f3sito S3 asociado, as\u00ed como para realizar implementaciones de pila con acceso de administrador.<\/p>\n Aqua dijo que el patr\u00f3n de nomenclatura de los roles de IAM creados por AWS CDK sigue la estructura “cdk-{Qualifier}-{Description}-{Account-ID}-{Regi\u00f3n}”, donde cada uno de los campos se explica a continuaci\u00f3n:<\/p>\n De manera similar, el dep\u00f3sito S3 creado durante el arranque sigue el patr\u00f3n de nomenclatura “cdk-{Qualifier}-assets-{Account-ID}-{Regi\u00f3n}.”<\/p>\n “Dado que muchos usuarios ejecutan el comando cdk bootstrap sin personalizar el calificador, el patr\u00f3n de denominaci\u00f3n del dep\u00f3sito S3 del dep\u00f3sito provisional se vuelve predecible”, dijo Aqua. “Esto se debe a que el valor predeterminado para el calificador de nombre del dep\u00f3sito est\u00e1 establecido en ‘hnb659fds’, lo que facilita anticipar el nombre del dep\u00f3sito”.<\/p>\n Con miles de casos<\/a> descubierto en GitHub donde se usa el calificador predeterminado, esto tambi\u00e9n significa que adivinar el nombre del dep\u00f3sito es tan simple como encontrar el ID de la cuenta de AWS y la regi\u00f3n en la que est\u00e1 implementado el CDK.<\/p>\n Combinando este aspecto con el hecho de que los nombres de los dep\u00f3sitos de S3 son globalmente \u00fanicos en todas las cuentas de AWS, la laguna abre la puerta a lo que se llama S3 Bucket Namesquatting<\/a> (o Bucket Sniping), permitiendo a un atacante reclamar el dep\u00f3sito CDK de otro usuario si a\u00fan no existe.<\/p>\n Esto podr\u00eda luego allanar el camino para una denegaci\u00f3n de servicio (DoS) parcial cuando un usuario intenta iniciar el CDK con el mismo ID de cuenta y regi\u00f3n, un escenario que podr\u00eda resolverse especificando un calificador personalizado durante el inicio.<\/p>\n Podr\u00eda ocurrir una consecuencia m\u00e1s grave si el CDK de la v\u00edctima tiene permiso para leer y escribir datos desde y hacia el dep\u00f3sito S3 controlado por el atacante, lo que hace posible alterar las plantillas de CloudFormation y ejecutar acciones maliciosas dentro de la cuenta AWS de la v\u00edctima.<\/p>\n “La funci\u00f3n de implementaci\u00f3n del servicio CloudFormation, que es la funci\u00f3n CloudFormationExecutionRole en CDK, tiene privilegios administrativos dentro de la cuenta de forma predeterminada”, se\u00f1al\u00f3 Aqua.<\/p>\n “Esto significa que cualquier plantilla de CloudFormation escrita en el dep\u00f3sito S3 del atacante mediante el CDK de la v\u00edctima se implementar\u00eda m\u00e1s tarde con privilegios administrativos en la cuenta de la v\u00edctima. Esto permitir\u00eda al atacante crear recursos privilegiados”.<\/p>\n En un ataque hipot\u00e9tico, si un usuario hubiera iniciado el proceso de arranque del CDK en el pasado y posteriormente hubiera eliminado el dep\u00f3sito S3 debido a l\u00edmites de cuota, un adversario podr\u00eda aprovechar la situaci\u00f3n para crear un dep\u00f3sito con el mismo nombre.<\/p>\n Esto podr\u00eda causar que el CDK conf\u00ede impl\u00edcitamente en el dep\u00f3sito no autorizado y lea\/escriba plantillas de CloudFormation en \u00e9l, haci\u00e9ndolos susceptibles a la explotaci\u00f3n. Sin embargo, para que esto tenga \u00e9xito, se espera que el atacante cumpla los siguientes requisitos previos:<\/p>\n Reclame el dep\u00f3sito con el nombre predecible y permita el acceso p\u00fablico <\/p>\n Cree una funci\u00f3n Lambda que inyectar\u00e1 una funci\u00f3n de administrador malicioso o una puerta trasera en un archivo de plantilla de CloudFormation determinado cada vez que se cargue en el dep\u00f3sito.<\/p>\n En la etapa final, cuando el usuario implementa el CDK mediante “cdk implementaci\u00f3n”, el proceso no solo env\u00eda la plantilla al dep\u00f3sito de r\u00e9plica, sino que tambi\u00e9n inyecta una funci\u00f3n de administrador que el atacante puede asumir para, en \u00faltima instancia, obtener el control de la cuenta de la v\u00edctima.<\/p>\n Dicho de otra manera, la cadena de ataque facilita la creaci\u00f3n de una funci\u00f3n de administrador en una cuenta de AWS de destino cuando se elimina un dep\u00f3sito CDK S3 configurado durante el proceso de arranque y se vuelve a utilizar el CDK. Desde entonces, AWS ha confirmado que aproximadamente el 1% de los usuarios de CDK eran vulnerables al vector de ataque.<\/p>\n La soluci\u00f3n implementada por AWS garantiza que los activos solo se carguen en dep\u00f3sitos dentro de la cuenta del usuario para evitar que el CDK env\u00ede datos a dep\u00f3sitos que no pertenecen a la cuenta que inici\u00f3 el arranque. tambi\u00e9n tiene inst\u00f3 a los clientes<\/a> utilizar un calificador personalizado en lugar del predeterminado “hnb659fds”.<\/p>\n Dicho esto, se requiere la acci\u00f3n del usuario si el arranque se realiz\u00f3 con la versi\u00f3n CDK v2.148.1 o anterior, lo que requiere que actualice el CDK a la \u00faltima versi\u00f3n y vuelva a ejecutar el comando de arranque. Como alternativa, los usuarios tienen la opci\u00f3n de aplicar una condici\u00f3n de pol\u00edtica de IAM a la funci\u00f3n del CDK FilePublishingRole.<\/p>\n Los hallazgos exigen una vez m\u00e1s mantener en secreto los ID de las cuentas de AWS, definir una pol\u00edtica de IAM con alcance y evitar dar nombres predecibles a los dep\u00f3sitos de S3.<\/p>\n “En su lugar, genere hashes \u00fanicos o identificadores aleatorios por regi\u00f3n y cuenta, e incorp\u00f3relos en los nombres de sus dep\u00f3sitos S3”, concluy\u00f3 Aqua. “Esta estrategia ayuda a proteger contra los atacantes que reclaman preventivamente su dep\u00f3sito”.<\/p>\n La divulgaci\u00f3n se produce cuando Symantec, propiedad de Broadcom, encontr\u00f3 varias aplicaciones de Android e iOS que codificaban y no cifraban credenciales de servicios en la nube para AWS y Microsoft Azure Blob Storage, poniendo datos de usuario en riesgo<\/a>.<\/p>\n Algunas de las aplicaciones infractoras incluyen Pic Stitch: Collage Maker, Crumbl, Eureka: Earn Money for Surveys, Videoshop – Video Editor, Meru Cabs, Sulekha Business y ReSound Tinnitus Relief.<\/p>\n “Esta pr\u00e1ctica peligrosa significa que cualquier persona con acceso al c\u00f3digo fuente o binario de la aplicaci\u00f3n podr\u00eda extraer estas credenciales y hacer un mal uso de ellas para manipular o filtrar datos, lo que provocar\u00eda graves violaciones de seguridad”, afirman los investigadores de seguridad Yuanjing Guo y Tommy Dong. dicho<\/a>.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/La-vulnerabilidad-del-kit-de-desarrollo-de-la-nube-de.png\")
<\/a><\/center><\/div>\n\n
<\/a><\/center><\/div>\n