Das Orca Security Research Team hat nun eine kritische Sicherheitslücke im Amazon Web Services AWS Glue-Service entdeckt, die es Kriminellen ermöglichen könnte, Ressourcen zu erstellen und auf Daten von AWS Glue-Kunden zuzugreifen. Die Ausnutzung war ein komplexer, mehrstufiger Prozess und wurde letztlich durch eine interne Fehlkonfiguration in AWS Glue ermöglicht. Der Glue-Dienst hat Zugriff auf große Datenmengen, was ihn zu einem äußerst attraktiven Ziel macht.
Das Forschungsteam hat mit AWS zusammengearbeitet, um das Problem zu beheben und gemeinsam mit AWS zu bestätigen, dass kein unrechtmäßiger Zugriff auf Kundenkonten erfolgte. Innerhalb weniger Stunden nach der Meldung des Problems hatte das AWS Glue-Service-Team die Erkenntnisse reproduziert und bestätigt. Am nächsten Morgen wurde eine partielle Behebung global bereitgestellt, gefolgt von einer vollständigen Behebung einige Tage später.
Anthony Virtuoso, Principal Engineer bei AWS, äußerte sich wie folgt zu unseren gemeinsamen Bemühungen bei der Entdeckung und schnellen Behebung dieser Sicherheitslücke: „Bei AWS ist Sicherheit die Aufgabe eines jeden und hat höchste Priorität – wir nehmen Berichte über Sicherheitslücken ernst. Wir verbringen viel Zeit damit, über Sicherheitsvarianten nachzudenken und diese zu implementieren, um unsere Kunden zu schützen. Wir schätzen es, wenn diese Arbeit durch Sicherheitsforschung unterstützt oder verbessert werden kann. Heute hat uns unser geschätzter AWS-Partner [Orca Security] dabei geholfen, eine Fehlkonfiguration in unserem Service zu erkennen und zu entschärfen, bevor sie sich auf andere Kunden auswirken konnte. Wir schätzen die Fähigkeiten und Wachsamkeit sehr des Orca-Teams sehr und möchten ihm für die gemeinsame Leidenschaft danken, AWS-Kunden durch ihre Erkenntnisse zu schützen.“
AWS Glue ist ein serverloser Datenintegrationsservice, der das Erkennen, Aufbereiten und Kombinieren von Daten für Analysen, maschinelles Lernen und Anwendungsentwicklung erleichtert. Während ihrer Recherchen konnten die Forscher eine Funktion in AWS Glue identifizieren, die ausgenutzt werden konnte, um Zugangsdaten für eine Rolle innerhalb des eigenen Kontos des AWS-Services zu erhalten, wodurch sie vollen Zugriff auf die interne Service-API erhielten. In Kombination mit einer internen Fehlkonfiguration in der internen Service-API von Glue konnten sie die Berechtigungen innerhalb des Kontos so weit ausweiten, dass wir uneingeschränkten Zugriff auf alle Ressourcen für den Service in der Region hatten, einschließlich vollständiger administrativer Berechtigungen.
Indem die Forscher sich genau ansahen, auf welche Daten im Service-Konto zugegriffen werden konnte, bestätigten sie, dass sie auf die Daten anderer AWS Glue-Kunden zugreifen konnten. Sie haben Konten unter ihrer Kontrolle verwendet, um zu testen und zu überprüfen, ob dieses Problem ihnen die Möglichkeit gab, auf Daten von ihren anderen Konten zuzugreifen, ohne die Daten anderer AWS-Kunden zu beeinträchtigen.
Dies sind einige der Dinge, die die Orca-Forscher tun konnten:
Wie bereits erwähnt, wurden alle Untersuchungen im Zusammenhang mit dieser Erkenntnis innerhalb von AWS-Konten durchgeführt, die Orca Security gehören. Während der Recherchen wurde auf keine anderen AWS-Kundenkonten und keine Daten anderer Kunden zugegriffen.
Das Orca Security Research Team sucht weiterhin in verschiedenen Cloud-Produkten und Cloud-Services nach solchen Zero-Day-Schwachstellen. Ziel ist es, diese Schwachstellen zu entdecken, bevor Kriminelle es tun.
BreakingFormation: Schwachstelle in AWS CloudFormation
Der Schwachstellenforscher von Orca Security, Tzah Pahima, entdeckte eine Schwachstelle in AWS, die die Offenlegung von Dateien und Anmeldeinformationen eines internen AWS-Dienstes ermöglicht. Bei dieser Zero-Day-Schwachstelle, die AWS innerhalb von sechs Tagen nach der Meldung vollständig entschärft hat, handelte es sich um eine XXE-Schwachstelle (XML External Entity), die im AWS CloudFormation Dienst gefunden wurde. Dies hätte dazu genutzt werden können, sensible Dateien auf dem verwundbaren Service-Rechner auszuspähen und serverseitige Anfragen (SSRF) für die unbefugte Offenlegung von Zugangsdaten interner AWS-Infrastrukturdienste anfällig zu machen.
Vor der öffentlichen Bekanntgabe der CloudFormation-Schwachstelle haben Forscher von Orca mit AWS zusammengearbeitet. Ziel war es, sicherzustellen, dass das Problem behoben wurde, damit Unternehmen nicht gefährdet werden.
Erkenntnisse zur Zero-Day-Schwachstelle BreakingFormation
Unternehmen, die AWS nutzen, sind vielleicht mit CloudFormation vertraut, dem Service, mit dem sie AWS-Ressourcen (wie EC2-Instanzen und S3-Buckets) mithilfe von Templates einfach bereitstellen können. Mit CloudFormation können sie auch API-Aufrufe verwenden, um Ressourcen dynamisch zu erstellen und zu konfigurieren. Das Orca Security Research Team entdeckte eine Zero-Day-Schwachstelle, die es ermöglichte, einen Server innerhalb von CloudFormation zu kompromittieren, was wiederum dazu führte, als AWS-Infrastrukturdienst ausgeführt zu werden.
Durch die Ausnutzung einer Anomalie in der Art und Weise, wie CloudFormation Templates rendert, konnten die Forscher eine XXE-Schwachstelle auslösen, die sie dazu nutzten, Dateien zu lesen und HTTP-Anfragen im Namen des Servers durchzuführen. Der Server enthielt mehrere Service-Binärdateien mit serverseitiger AWS-Logik sowie Konfigurationsdateien für die Verbindung mit internen AWS-Endpunkten und -Services.
Das Forschungsteam geht davon aus, dass ein Angreifer angesichts der auf dem Host gefundenen Daten (einschließlich Anmeldeinformationen und Daten zu internen Endpunkten) diese Schwachstelle missbrauchen könnte, um die Grenzen von Mandanten zu überwinden und so privilegierten Zugriff auf alle Ressourcen in AWS zu erhalten.
Die Forscher von Orca wollten nicht in den Betrieb des Dienstes eingreifen. Um sicherzugehen, wem diese Zugangsdaten gehörten, haben sie die durchgesickerten Zugangsdaten verwendet, um eine S3-URL vorzugeben, und dann mit dem SSRF versucht, auf den eigenen S3-Bucket zuzugreifen, um zu sehen, welche Identität beteiligt war. Die daraus resultierenden Protokolle verraten, wem diese Anmeldedaten gehören. Das Ergebnis war ein „Access Denied CloudTrail“-Protokolleintrag mit der unten angegebenen Identität:
Hinweis: Das Feld „userIdentity“ zeigt, dass ein AWS-Dienst, und zwar nicht der öffentliche Auftraggeber von CloudFormation, sondern ein von AWS verwendeter interner Dienst, versucht hat, auf den Speicher-Bucket zuzugreifen.
Schnelle Behebung der Schwachstelle
Orca meldete das Problem sofort an AWS, das schnell handelte, um es zu beheben. Das AWS-Sicherheitsteam kodierte in weniger als 25 Stunden einen Fix, der innerhalb von sechs Tagen alle AWS-Regionen erreichte.
Forscher von Orca Security halfen beim Testen des Fixes, um sicherzustellen, dass diese Schwachstelle korrekt behoben wurde, und sie konnten überprüfen, dass sie nicht mehr ausgenutzt werden kann.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…