Lekken in Resource-Based Policy API’s van AWS

| Palo Alto Networks | 2 min | 17 november 2020 18:12
Copyright: Palo Alto Networks
Vandaag heeft Unit 42, het Threat Intelligence-team van Palo Alto Networks, nieuw onderzoek uitgebracht naar de ontdekking van 22 AWS-API's in 16 AWS-services die kunnen worden misbruikt om informatie te lekken.

De belangrijkste bevindingen zijn:
  • Grote AWS-services die mogelijk zijn beïnvloed: onder andere Amazon S3, Amazon KMS en Amazon SQS.
  • Moeilijk te traceren: de sluikse eigenschap van de exploit maakt opsporing en preventie moeilijk. Aanvallers hebben onbeperkte tijd om zowel willekeurige als doelgerichte AWS-accounts te verkennen, zonder zich zorgen te hoeven maken dat ze worden opgemerkt.
  • Kan leiden tot misconfiguraties in de cloud: een kwaadwillende actor kan het rooster van een account bemachtigen, de interne structuur van de organisatie leren kennen en zo gerichte aanvallen op individuen opzetten. In een recente Red Team-oefening hebben onderzoekers van Unit 42 het cloudaccount van een klant met duizenden workloads gecompromitteerd met behulp van een verkeerd geconfigureerde IAM-rol die door deze exploit wordt geïdentificeerd.

De hoofdoorzaak van het probleem is dat de AWS-backend proactief alle research-based policies valideert die zijn gekoppeld aan bronnen zoals Amazon Simple Storage Service (S3) -buckets en door de klant beheerde keys. Research-based policy bevat gewoonlijk een Principal-veld dat de identiteiten die toegang hebben tot de bron specificeert. Als de policy een niet-bestaande identiteit bevat, mislukt de API-aanroep die de policy maakt of bijwerkt, met een foutbericht.

Deze handige functie kan echter worden misbruikt om te controleren of er een identiteit bestaat in een AWS-account. Hackers kunnen deze API's herhaaldelijk aanroepen met verschillende principals om de gebruikers in een gericht account op te sommen.

Wat kun je doen?

Een goede IAM-veiligheidshygiëne kan de bedreigingen van dit type aanval effectief verminderen. Hoewel het niet mogelijk is om te voorkomen dat een aanvaller identiteiten opslaat in AWS-accounts, kan de opsomming moeilijker worden gemaakt en kun je controleren op verdachte activiteiten die zijn ondernomen na de verkenning.

Je vindt het hele onderzoek hier.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over Palo Alto Networks

Palo Alto Networks als leverancier op het gebied van cyberbeveiliging geeft de cloud-centric toekomst vorm met technologie die de manier waarop mensen en organisaties werken transformeert. Onze missie is om de cybersecuritypartner bij uitstek te zijn en onze digitale manier van leven te beschermen. We helpen de grootste beveiligingsuitdagingen ter wereld aan te pakken met continue innovatie die de nieuwste doorbraken in kunstmatige intelligentie, analyse, automatisering en orkestratie grijpt. Door een geïntegreerd platform te leveren en een groeiend ecosysteem van partners te versterken, lopen we voorop bij het beschermen van organisaties via clouds, netwerken en mobiele apparaten. Onze visie is een wereld waar elke dag veiliger en veiliger is dan de vorige.
Palo Alto Networks, en het Palo Alto Networks-logo zijn handelsmerken van Palo Alto Networks, Inc. in de Verenigde Staten en in rechtsgebieden over de hele wereld. Alle andere handelsmerken, handelsnamen of servicemerken die hierin worden gebruikt of genoemd, zijn eigendom van hun respectievelijke eigenaren.
Meer over Palo Alto Networks

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20191030103431.png
Conference by app developers, for app developers!
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030101402.jpg
De grootste Nederlandse site over Android
20191029200614.jpg
Drive value with data
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.