Peneliti cybersecurity telah menemukan peran default identitas dan manajemen akses (IAM) yang berdampak pada layanan web Amazon yang dapat membuka pintu bagi penyerang untuk meningkatkan hak istimewa, memanipulasi layanan AWS lainnya, dan, dalam beberapa kasus, bahkan sepenuhnya kompromi akun AWS.
“Peran -peran ini, yang sering dibuat secara otomatis atau direkomendasikan selama pengaturan, memberikan izin yang terlalu luas, seperti akses S3 penuh,” kata peneliti Aqua Yakir Kadkoda dan Ofek Itach dalam sebuah analisis. “Peran default ini secara diam-diam memperkenalkan jalur serangan yang memungkinkan eskalasi hak istimewa, akses lintas-layanan, dan bahkan kompromi akun potensial.”
Perusahaan keamanan cloud mengatakan mengidentifikasi masalah keamanan dalam peran default IAM yang dibuat oleh layanan AWS seperti Sagemaker, Glue, EMR, dan LightSAIL. Cacat serupa juga telah digali dalam kerangka kerja open-source yang populer yang disebut Ray, yang secara otomatis menciptakan peran IAM default (Ray-Autoscaler-V1) dengan kebijakan Amazons3fullaccess.
Apa yang memprihatinkan tentang peran IAM ini adalah bahwa sementara mereka dimaksudkan untuk sesuatu yang spesifik, mereka dapat dilecehkan untuk melakukan tindakan administratif dan mematahkan batasan isolasi antara layanan, secara efektif memungkinkan penyerang yang memiliki pijakan di lingkungan untuk bergerak secara lateral melintasi layanan.
Serangan -serangan ini melampaui serangan monopoli bucket, yang berputar di sekitar skenario di mana aktor ancaman dapat memanfaatkan pola penamaan ember S3 yang dapat diprediksi untuk mengatur ember di daerah AWS yang tidak digunakan dan pada akhirnya mendapatkan kendali atas isi ember ketika pelanggan yang sah mulai menggunakan layanan seperti Cloudformation, Glue, EMR, Sagemaker, ServicateCatal ,, ServicateCatal ,, ServicateCerak ,, ServicateCerak ,, ServicateCerak ,, ServicateCerak ,, ServicateCerak ,, ServiceCataling ,, ServicateCerak ,, ServicateCerak ,, ServiceCatalo ,, ServiceCatalo.
“Dalam hal ini, seorang penyerang yang mendapatkan akses ke peran layanan default dengan Amazons3fullaccess bahkan tidak perlu menebak nama ember dari jarak jauh,” jelas para peneliti.
“Mereka dapat menggunakan hak istimewa yang ada untuk mencari akun untuk ember yang digunakan oleh layanan lain menggunakan pola penamaan, memodifikasi aset seperti templat CloudFormation, skrip EMR, dan sumber daya Sagemaker, dan bergerak secara lateral melintasi layanan dalam akun AWS yang sama.”
Dengan kata lain, peran IAM dalam akun AWS dengan izin Amazons3fullaccess telah membaca/menulis akses ke setiap ember S3 dan memodifikasi berbagai layanan AWS, secara efektif mengubah peran menjadi metode yang kuat untuk gerakan lateral dan eskalasi hak istimewa.
Beberapa layanan yang diidentifikasi dengan kebijakan permisif tercantum di bawah ini –
- Amazon Sagemaker AI, yang menciptakan peran eksekusi default bernama AmazonSagemaker-ExecutionRole-
Saat menyiapkan domain Sagemaker yang dilengkapi dengan kebijakan khusus yang setara dengan Amazons3fullaccess - AWS Glue, yang menciptakan peran AWSGLUESERVICEROLE default dengan kebijakan Amazons3fullaccess
- Amazon EMR, yang membuat amazonemrstudio_runtimerole default default
Peran yang ditetapkan Kebijakan Amazons3fullaccess
Dalam skenario serangan hipotetis, seorang aktor ancaman dapat mengunggah model pembelajaran mesin berbahaya untuk memeluk wajah itu, ketika diimpor ke Sagemaker, dapat mengakibatkan pelaksanaan kode sewenang -wenang, yang kemudian dapat digunakan untuk mengambil kendali layanan AWS lainnya seperti lem dengan menyuntikkan pintu belakang yang mampu mencuri kredensial IAM dari pekerjaan lem.
Musuh kemudian dapat meningkatkan hak istimewa mereka di dalam akun, pada akhirnya melanggar seluruh lingkungan AWS dengan mencari ember yang digunakan oleh Cloudformation dan menyuntikkan template jahat untuk meningkatkan hak istimewa lebih lanjut.
Menanggapi pengungkapan, AWS telah membahas masalah dengan memodifikasi kebijakan Amazons3fullaccess untuk peran layanan default.
“Peran layanan default harus dilingkup dengan ketat dan sangat terbatas pada sumber daya dan tindakan spesifik yang mereka butuhkan,” kata para peneliti. “Organisasi harus secara proaktif mengaudit dan memperbarui peran yang ada untuk meminimalkan risiko, daripada mengandalkan konfigurasi default.”
Temuan ini datang ketika Varonis merinci kerentanan dalam utilitas yang digunakan untuk pemasangan penyimpanan Azure yang telah diinstal sebelumnya pada Microsoft Azure AI dan beban kerja komputasi kinerja tinggi (HPC) dan memungkinkan pengguna yang tidak beruntung pada mesin Linux dengan utilitas ini yang dipasang untuk meningkatkan hak istimewa mereka ke root.
“Ini melibatkan metode eskalasi hak istimewa klasik yang melibatkan biner suid yang merupakan bagian dari pemasangan AZNFS-Mount, utilitas untuk memasang akun penyimpanan Azure NFS,” kata peneliti keamanan Tal Peleg.
“Misalnya, pengguna dapat meningkatkan izin untuk melakukan root dan menggunakan izin tersebut untuk memasang wadah penyimpanan Azure tambahan, menginstal malware atau ransomware pada mesin, dan mencoba untuk bergerak secara lateral di jaringan atau lingkungan cloud.”
Kelemahan, yang mempengaruhi semua versi utilitas hingga 2.0.10, telah ditangani dalam versi 2.0.11 yang dirilis pada 30 Januari 2025.
