Red Team deckt IAM-Schwächen auf

In der Ausgabe 2H 2020 des halbjährlich erscheinenden Unit 42 Cloud Threat Report führten die Forscher Red Team Angriffe durch, scannten öffentliche Cloud-Daten und zogen proprietäre Daten von Palo Alto Networks hinzu, um die Bedrohungslandschaft des Identitäts- und Zugriffsmanagements (IAM) zu untersuchen und zu ermitteln, wo Unternehmen ihre IAM-Konfigurationen verbessern können.

Während einer Übung von Red Team konnten die Forscher von Unit 42 IAM-Fehlkonfigurationen entdecken und nutzen, um Admin-Zugriff auf die gesamte Amazon Web Services (AWS)-Cloud-Umgebung eines Kunden zu erhalten – ein potenzieller, mehrere Millionen Dollar teurer Datenverstoß in der realen Welt. Diese Beispiele verdeutlichen, wie schwerwiegend das Versagen bei der Sicherung von IAM für eine Organisation sein kann.

In einem anderen Fall nutzten Forscher erfolgreich die falsch konfigurierte IAM-Rollenvertrauensrichtlinie „AssumeRole“ aus, um vorübergehend Zugang zu sensiblen Ressourcen zu erhalten. Das Team von Einheit 42 konnte dies mit Hilfe eines anonymen AWS-Kontos bewerkstelligen.

Es ist wichtig, darauf hinzuweisen, dass für jeden Versuch, eine AWS-Rolle zu übernehmen, ein AWS CloudTrail-Ereignis generiert wird. Es ist entscheidend, dass Organisationen ihre CloudTrail-Protokolle auf AssumeRole-Ereignisse überwachen und sicherstellen, dass nur genehmigte AWS-Konten diese Aktionen in der Umgebung der Organisation durchführen. Die Grundursache, die diesen nicht authentifizierten Zugriff erlaubte, war eine übermäßig freizügige IAM-Rollen-Vertrauenspolitik.

Die falsch konfigurierte Richtlinie erlaubte es jedem AWS-Benutzer, der sich nicht im Konto befindet, die Rolle zu übernehmen und ein Zugriffstoken zu erhalten. Dies konnte zu einer beliebigen Anzahl von Angriffen gegen eine Organisation führen, einschließlich Denial-of-Service (DoS) und Lösegeldforderungen, oder sogar eine Tür für einen Gegner der Advanced Persistent Threat (APT) öffnen.

In derselben Übung des Roten Teams konnten sich die Forscher der Einheit 42 erfolgreich seitlich lateral bewegen, ohne dass ein Administrator Zugriff hatte, indem sie eine falsch konfigurierte IAM-Rolle im Zusammenhang mit der Verwaltung der Ablaufprotokolle nutzten. Sie haben dann erfolgreich ihre Privilegien von einem eingeschränkten Entwicklerkonto aus eskaliert, um Persistenz zu erlangen, was durch die Entführung eines Administratorkontos erreicht wurde.

Durch die Ausnutzung dieser übermäßig freizügigen IAM-Rolle im Zusammenhang mit den Flow-Logs erhielten die Forscher von Unit 42 administrativen Zugriff auf die gesamte Cloud-Umgebung, wodurch die uneingeschränkte Manipulation von Cloud-Ressourcen ermöglicht wurde. Sie waren dann in der Lage, neue Amazon Elastic Compute Cloud (EC2)- und Relational Database Service (RDS)-Instanzen zu erstellen sowie Benutzer- und Richtlinienberechtigungen zu ändern. Angreifer konnten diese Technik nutzen, um sensible Daten zu stehlen, die Infrastruktur zu vernichten oder eine Operation mit Lösegeldern zu sperren.

Die Forscher von Unit 42 fanden heraus, dass 74 % der Organisationen in Europa, dem Nahen Osten und Afrika (EMEA) die Google Cloud nutzen, um Arbeitslasten mit Administratorrechten auszuführen. Es ist ein bewährtes Verfahren, Workloads nach dem Prinzip der geringsten Privilegien auszuführen, d. h. die Berechtigungen für Nutzer auf das erforderliche Minimum zu beschränken. Wenn ein Angreifer in der Lage ist, eine Arbeitslast mit Admin-Privilegien zu kompromittieren, würde der Angreifer den gleichen Grad an erhöhtem Zugriff erhalten. Dies bietet einen einfachen Weg für Angreifer, Cloud-Ressourcen zu nutzen, um Angriffe wie Krypto-Jacking-Operationen auf Kosten der Organisation durchzuführen.

Zusätzlich zu den IAM-Forschungsarbeiten lieferte das Team von Einheit 42 ein Update zu seiner laufenden Untersuchung der allgemeinen Sicherheitslage von Cloud-Infrastrukturen weltweit. Die Untersuchung von Unit 42 zeigt, dass mindestens 23% der Organisationen weltweit, die Cloud-Infrastrukturen unterhalten, von Cryptojacking betroffen sind. Das Team fand heraus, dass Cloud-Umgebungen im Visier von Cyberkriminalitätsgruppen stehen, die sich auf böswillige Kryptomining-Vorgänge konzentrieren, die nach wie vor zu den bekanntesten Angriffen auf Cloud-Infrastrukturen gehören.

Der Schutz Ihrer Cloud-Infrastruktur vor der Ausnutzung falsch konfigurierter IAM-Rollen und -Richtlinien kann die Verteidigung der Cloud-Infrastruktur verbessern und stärken. Um in der Cloud sicher zu bleiben, sollten Sie ein Situationsbewusstsein für die neuesten gegnerischen Taktiken hinsichtlich der Ausrichtung auf IAM-Rollen und –Richtlinien schaffen, die zu schwerwiegenden, nur in der Cloud auftretenden Sicherheitsvorfällen führen können. Befähigen Sie DevOps und Sicherheitsteams, der Bedrohungskurve voraus zu sein und ihre Cloud-Umgebungen besser zu schützen. Vermitteln Sie die Denkweise, dass eine sichere Cloud nur möglich ist, wenn Unternehmen sinnvolle Schritte unternehmen, um ihre IAM-Rollen und -Richtlinien zu stärken.