Les acteurs malveillants peuvent tirer parti du service de jetons de sécurité Amazon Web Services (AWS STS) pour infiltrer des comptes cloud et mener des attaques ultérieures.
Le service permet aux auteurs de menaces d’usurper l’identité et les rôles des utilisateurs dans les environnements cloud, selon les chercheurs de Red Canary Thomas Gardner et Cody Betsworth. dit dans une analyse de mardi.
AWS STS est un service Web qui permet aux utilisateurs de demander des informations d’identification temporaires à privilèges limités pour accéder aux ressources AWS sans avoir besoin de créer une identité AWS. Ces jetons STS peuvent être valides entre 15 minutes et 36 heures.
Les acteurs malveillants peuvent voler des jetons IAM à long terme par diverses méthodes telles que les infections par des logiciels malveillants, les informations d’identification exposées publiquement et les e-mails de phishing, puis les utiliser pour déterminer les rôles et privilèges associés à ces jetons via des appels API.
« En fonction du niveau d’autorisation du jeton, les adversaires peuvent également l’utiliser pour créer des utilisateurs IAM supplémentaires avec des jetons AKIA à long terme afin d’assurer la persistance au cas où leur jeton AKIA initial et tous les jetons ASIA à court terme qu’il a générés seraient découverts. et révoqué », a déclaré le chercheur.
Dans l’étape suivante, un jeton STS authentifié par MFA est utilisé pour créer plusieurs nouveaux jetons à court terme, suivi d’actions post-exploitation telles que l’exfiltration de données.
Pour atténuer de tels abus de jetons AWS, il est recommandé de consigner les données d’événements CloudTrail, de détecter les événements de chaînage de rôles et les abus MFA, et d’effectuer une rotation des clés d’accès utilisateur IAM à long terme.
« AWS STS est un contrôle de sécurité essentiel pour limiter l’utilisation d’informations d’identification statiques et la durée d’accès des utilisateurs à leur infrastructure cloud », ont déclaré les chercheurs.
« Cependant, dans certaines configurations IAM communes à de nombreuses organisations, les adversaires peuvent également créer et abuser de ces jetons STS pour accéder aux ressources cloud et effectuer des actions malveillantes. »