近日,亞馬遜雲服務被曝正在修補所謂的“強力膠”(Superglue)漏洞。此外還有一個被稱作 AWS CloudFormation 的 Bug,攻擊者可利用它們摸到其他用戶的敏感數據。Orca 安全研究團隊率先披露了 AWS 工具中的缺陷,慶幸的是兩個 Bug 都已得到完全修補。
(來自:Orca Security)
首先聊聊 Superglue 漏洞,用戶可藉此訪問其他 AWS Glue 用戶管理的信息。
AWS 官方宣稱 Glue 是一項無服務器的數據集成服務,旨在輕鬆發現、準備和組合那些用於分析、機器學習和應用程序開發的數據。
事實上,亞馬遜服務的體量着實龐大,以至於 Glue 用戶能夠免費存儲多達百萬個對象。
Orca 指出 —— 我們能夠識別 AWS Glue 中的一項功能,它可用於獲取 AWS 官方服務賬戶中的某個角色的憑證,從而賦予了對內部服務 API 的完全訪問權限。
結合內部錯誤配置和 Glue 內部訪問 API,我們得以將帳戶內的權限進一步提升至不受限的水平,包括以完全的管理權限訪問某個區域的所有資源。
在受 Glue 服務信任的 AWS 客戶賬戶中,至少都有一個類似角色的賬戶。
得逞后,攻擊者能夠查詢和修改區域內的相關資源,包括但不限於 Glue 作業、開發端點、工作流、爬蟲、觸發器等元數據。
Orca 證實 —— 其已確認通過該漏洞控制眾多賬戶、以訪問其他 AWS Glue 用戶管理的信息的能力。
慶幸的是,漏洞披露不久后,亞馬遜在數小時內就做出了回應,並於第二日實施了部分緩解,直到數日後徹底封堵了相關問題。
第二個漏洞影響到了 AWS CloudFormation,通過將基礎設施視作代碼, 用戶可對第一和第三方資源開展建模、預置和管理。
這種“基礎設施即代碼”的範式,已於近年來愈加受到客戶的青睞。在遷移至雲端的時候,其配置與維護的便利性也相當出眾。
然而被稱作 BreakingFormation 的第二個 Bug,卻可被用於泄露在易受攻擊的服務器上發現的機密文件。
此外服務器端請求(SSRF)易受未經授權披露內部 AWS 基礎設施服務憑證的影響 —— 慶幸的是,該漏洞在向 AWS 披露六天內完成了徹底修復。
最後,Bleeping Computer 分享了 AWS 副總裁 Colm MacCárthaigh 在 Twitter 上披露的與 BreakingFormation 漏洞有關的更多細節,且一開始就承認了 Orca 能夠獲得對所有 AWS 賬戶資源的訪問權限的說法。
然後 Orca 首席技術官 Yoav Alon 回應稱 CloudFormation 的暴露範圍,並不像最初預期的那樣廣泛。
我們立即向 AWS 通報了該問題,後者迅速採取了行動來解決這個問題。
AWS 安全團隊在不到 25 小時內編寫了首個修復程序,並於 6 日內落實到了所有 AWS 區域。
Orca 安全研究人員幫助測試了修復補丁,以確保妥善解決相關問題,且我們能夠驗證其不會再遭到利用。