Los investigadores de seguridad cibern\u00e9tica han descubierto roles de identidad y gesti\u00f3n de acceso por incumplimiento de riesgo (IAM) que afectan los servicios web de Amazon que podr\u00edan abrir la puerta a los atacantes para intensificar los privilegios, manipular otros servicios de AWS y, en algunos casos, incluso comprometer las cuentas de AWS por completo.<\/p>\n
“Estos roles, a menudo creados autom\u00e1ticamente o recomendados durante la configuraci\u00f3n, otorgan permisos demasiado amplios, como el acceso completo de S3”, los investigadores de Aqua Yakir Kadkoda y Ofek Itach dicho<\/a> en un an\u00e1lisis. “Estos roles predeterminados introducen silenciosamente rutas de ataque que permiten la escalada de privilegios, el acceso a los servicios cruzados e incluso el compromiso potencial de la cuenta”.<\/p>\n La firma de seguridad en la nube dijo que identificaba problemas de seguridad en los roles de IAM predeterminados creados por servicios de AWS como Sagemaker, Glue, EMR y Lightsil. Un defecto similar tambi\u00e9n se ha descubierto en un popular marco de c\u00f3digo abierto llamado Ray, que crea autom\u00e1ticamente un papel de IAM predeterminado (Ray-AutoScaler-V1) con la pol\u00edtica de Amazons3FullAccess.<\/p>\n Lo que es consciente de estos roles IAM es que, si bien est\u00e1n destinados a algo espec\u00edfico, podr\u00edan abusar de realizar acciones administrativas y romper los l\u00edmites de aislamiento entre los servicios, permitiendo efectivamente a un atacante que tiene un punto de apoyo en el entorno para moverse lateralmente a trav\u00e9s de los servicios.<\/p>\n Estos ataques van m\u00e1s all\u00e1 de los ataques de monopolio de cubos, que giran en torno a un escenario en el que un actor de amenaza podr\u00eda aprovechar los patrones predecibles de nombres de cubos S3 para establecer cubos en las regiones de AWS no utilizadas y finalmente obtener control sobre el contenido de la cubierta cuando un cliente leg\u00edtimo comienza a usar servicios como CloudFormation, Glue, EMR, Sagemaker, ServiceCatalog y Codestar.<\/p>\n “En este caso, un atacante que gana acceso a un papel de servicio predeterminado con Amazons3fulLaccess ni siquiera necesita adivinar los nombres de cubos de forma remota”, explicaron los investigadores.<\/p>\n “Pueden usar sus privilegios existentes para buscar en la cuenta los cubos utilizados por otros servicios utilizando los patrones de nombres, Modificar activos como las plantillas de CloudFormation<\/a>Scripts EMR y recursos de Sagemaker, y se mueven lateralmente a trav\u00e9s de los servicios dentro de la misma cuenta de AWS “.<\/p>\n Dicho de otra manera, un papel de IAM dentro de una cuenta de AWS con los permisos de Amazons3Fullaccess tiene acceso de lectura\/escritura a cada cubo S3 y modifica varios servicios de AWS, convirtiendo efectivamente el papel en un poderoso m\u00e9todo para el movimiento lateral y la escalada de privilegios.<\/p>\n Algunos de los servicios identificados con la pol\u00edtica permisiva se enumeran a continuaci\u00f3n –<\/p>\n En un escenario de ataque hipot\u00e9tico, un actor de amenaza podr\u00eda cargar un modelo de aprendizaje autom\u00e1tico malicioso para abrazar la cara que, cuando se importan a Sagemaker, puede resultar en la ejecuci\u00f3n de un c\u00f3digo arbitrario, que luego podr\u00eda usarse para confiscar el control de otros servicios de AWS como el Glumbe al inyectar una puerta trasera capaz de robar las credenciales IAM de IAM del trabajo de GLUE.<\/p>\n El adversario podr\u00eda aumentar sus privilegios dentro de la cuenta, en \u00faltima instancia, violando todo el entorno de AWS buscando cubos utilizados por CloudFormation e inyectando una plantilla maliciosa para aumentar a\u00fan m\u00e1s los privilegios.<\/p>\n En respuesta a la divulgaci\u00f3n, AWS ha abordado los problemas modificando la pol\u00edtica de Amazons3FulLaccess para los roles de servicio predeterminados.<\/p>\n “Los roles de servicio predeterminados deben estar estrechamente alcanzados y estrictamente limitados a los recursos y acciones espec\u00edficos que requieren”, dijeron los investigadores. “Las organizaciones deben auditar y actualizar de manera proactiva los roles existentes para minimizar el riesgo, en lugar de depender de las configuraciones predeterminadas”.<\/p>\n Los hallazgos se producen cuando Varonis detall\u00f3 una vulnerabilidad en una utilidad utilizada para el montaje de almacenamiento de Azure que viene preinstalado en Microsoft Azure AI y las cargas de trabajo inform\u00e1ticas de alto rendimiento (HPC) y permite a un usuario no privilegiado en una m\u00e1quina Linux con esta utilidad instalada para aumentar sus privilegios a la ra\u00edz.<\/p>\n “Implica un m\u00e9todo de escalada de privilegio cl\u00e1sico que involucra un binario suid que forma parte de la instalaci\u00f3n de Aznfs-montaje<\/a>una utilidad para montar la cuenta de almacenamiento de Azure NFS Puntos finales “, el investigador de seguridad Tal Peleg dicho<\/a>.<\/p>\n “Por ejemplo, un usuario podr\u00eda elevar los permisos para rootear y usar esos permisos para montar contenedores de almacenamiento Azure adicionales, instalar malware o ransomware en la m\u00e1quina e intentar moverse lateralmente en los entornos de red o nube”.<\/p>\n El defecto, que afecta todas las versiones de la utilidad hasta 2.0.10, se ha abordado en Versi\u00f3n 2.0.11<\/a> Lanzado el 30 de enero de 2025.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Los-roles-de-AWS-predeterminados-se-encuentran-para-permitir-el.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n\n
<\/a><\/center><\/div>\n<\/a><\/div>\n