AWS服务中的关键脆弱性风险

关键要点

Aqua Security的研究发现，AWS中的六项服务存在严重安全漏洞，可能导致账户接管、远程代码执行、AI数据篡改和敏感信息泄露等问题。脆弱性源自某些AWS服务自动生成的S3桶。攻击者可以通过利用这些S3桶的命名规律进行攻击，最终可能导致账户被接管。AWS已知晓此问题并已进行修复，但用户仍需注意保护账户ID等敏感信息。

在周三的Black Hat USA大会上，Aqua Security的研究人员披露了六项亚马逊网络服务AWS下的关键脆弱性，这些漏洞可能允许攻击者执行账户接管、远程代码执行、AI数据操控、敏感信息泄露等操作。Aqua Security的Nautilus研究团队在本次在拉斯维加斯举行的网络安全会议上，介绍了这一研究成果。

白鲸加速器免费

本次研究由Aqua Security的首席安全研究员Yakir Kadkoda和高级安全研究员Ofek Itach，以及前Aqua Security研究员Michael Katchinskiy共同发布。

了解更多关于Black Hat USA的实时报道，请访问我们的插图页面。

AWS的发言人对SC Media表示：“AWS已经注意到该研究，并确认已修复此问题，目前所有服务均正常运行，客户无需采取任何行动。”

这些“影子资源”攻击向量是由多项AWS服务自动生成S3桶引起的，包括CloudFormation、Glue、EMR、SageMaker、ServiceCatalog和CodeStar。用户在开始新项目或文件上传时可能未意识到这些桶正在被创建，而且桶的命名遵循可预测的命名规则，这可能被攻击者利用。

最早在CloudFormation服务中发现的影子资源缺陷，随后在其他五项服务中也被确定。该漏洞允许攻击者使用目标尚未创建的桶的预定名称创建自己的S3桶。对于CloudFormation，自动生成的桶遵循一个固定的前缀、一个对于特定AWS账户保持不变的哈希值，以及桶创建所在的区域。

因此，如果攻击者知道目标的唯一哈希值，他们就可以创建一个包含CloudFormation前缀、哈希和任何33个AWS区域的桶。因为在任何账户中两个S3桶不能具有相同的名称，所以当目标用户的账户尝试创建一个被攻击者占用名称的新桶时，就会导致错误或更糟的后果。

AWS缺陷允许攻击者“占领”其他用户的“影子桶”

研究人员发现，在CloudFormation的情况下，试图从攻击者已占用的区域上传模板文件会导致该模板被放置在攻击者的桶中，前提是攻击者将桶配置为允许公共访问并授予CloudFormation服务的读写权限。

通过获取受害者上传的文件，不仅攻击者可以窃取潜在的敏感信息，还可以操作模板注入后门，导致可能的账户接管。这可以通过Lambda函数实现，利用初始模板上传与模板执行之间的时间来自动注入后门，一旦模板被放置在攻击者的桶中，就会立即触发。

研究人员描述的后门形式是一个新的管理员角色，攻击者可以在后续的时间中假设该角色。然而，研究人员指出，只有在上传模板的受害者用户通过AWS管理控制台拥有创建新管理员角色的权限时，才能创建此类后门。

由于存在脆弱性，攻击者实际上可以在CloudFormation自动创建的“影子桶”中“占领”，而目标用户则可能对此毫不知情，这样他们便可以等待目标首次在新区域创建新的CloudFormation堆栈，触发Lambda函数和后门注入。

“尽管这一过程可能需要一些时间，但在拥有数百个账户和成千上万用户的大型组织中，发生的概率是相当高的，”研究人员在一篇博客文章中指出。

多项AWS服务此前易受“影子资源”和“桶垄断”攻击

在发现AWS CloudFormation中的“影子资源”漏洞后，研究人员将调查范围扩大到其他AWS服务，发现Glue、EMR、SageMaker、ServiceCatalog和CodeStar服务也存在类似问题。

所有这些服务在新用户行为如创建新的Glue作业、新的EMR