Los cubos de AWS S3 abandonados podrían reutilizarse para secuestrar la cadena de suministro de software global en un ataque que haría que las «aventuras de vientos solares de Rusia parezcan aficionados e insignificantes», afirmaron los investigadores de seguridad de Watchtowr Labs.

Los investigadores, en un informe Salir esta mañana, digamos que identificaron alrededor de 150 cubos de almacenamiento en la nube alojados en Amazon que estaban hace mucho tiempo, pero las aplicaciones y los sitios web todavía intentaban extraer actualizaciones de software y otro código de ellos. Si alguien se hiciera cargo de esos cubos, podría usarlos para alimentar el software malicioso en los dispositivos de las personas.

Estos cubos S3 habían sido propiedad o utilizados previamente por gobiernos, empresas Fortune 500, empresas de tecnología y ciberseguridad, y los principales proyectos de código abierto.

El equipo de WatchToWr dijo que gastó $ 420.85 para volver a registrar estos cubos S3 con los mismos nombres y habilitar el registro para que todos rastreen qué archivos se solicitaron aún y por qué. Nos dijeron que pasaron dos meses viendo las solicitudes HTTP.

Durante este tiempo, los cubos S3 recibieron más de ocho millones de solicitudes de recursos, incluidos ejecuciones de Windows, Linux y MacOS; Imágenes de máquina virtual; Archivos JavaScript; Plantillas de CloudFormation; y configuraciones del servidor SSL VPN, dijo el equipo de WatchToWr.

Estas solicitudes entrantes vinieron de la NASA y otras redes gubernamentales de los Estados Unidos, junto con organizaciones gubernamentales en el Reino Unido y otros países, a juzgar por registros de dominio.

Las redes militares, más las que pertenecen a Fortune 500 y Fortune 100 Companies, una «red de tarjetas de pago importante» y una «gran compañía de productos industriales», también hicieron pasar los cubos S3, según la tienda de seguridad.

Además, los bancos y las empresas de servicios financieros enviaron solicitudes de archivos a los cubos ahora propiedad de Watchtowr, al igual que las universidades, los proveedores de mensajes instantáneos, las empresas infosec, los casinos y otros, nos dicen.

Mayor problema de infraestructura abandonada y caducada

Este informe destaca los riesgos de seguridad asociados con Abandonado y expirado infraestructura. Un estudio anterior de WatchToWr ilustró cómo Dominios de Internet desechables Se puede abusar si se les permite caducar y luego comprados por un individuo con mentalidad malvada o atacante de estado-nación.

Además, la seguridad de la trufa la otra semana destacado El peligro de que las nuevas empresas y otras empresas cierren sin cerrar sus cuentas en proveedores de software de terceros como servicio mientras usan un dominio para una sola firma.

Imagine esto: una startup de ejemplo llamada BigThinkr.com utiliza su dominio Dot-Com para una señal única con Google. Su personal inicia sesión en cosas como Slack usando su identidad name@bigthinkr.com después de autenticarse con Google. Luego, la startup se calla abruptamente, no cierre sus cuentas SaaS y permite que BigThinkr.com expire. Alguien compra BigThinkr.com y puede comenzar a iniciar sesión en las cuentas del negocio nuevamente.

Lo que debería suceder es que las cuentas están completamente desactivadas antes de que expire el dominio, y que los servicios deben seguir Directrices de Googleparticular La parte sobre los subcampos, para garantizar que no se abuse de firma única.

«El desafío subyacente es que las personas están tratando efectivamente la infraestructura como temporal, pero con efectos muy, muy permanentes en lo que da acceso, a lo que autoriza, dónde se confía», dijo el CEO y fundador de Watchtowr, Benjamin Harris. El registro en una entrevista anterior.

La última investigación de la tienda de seguridad identifica un problema similar, esta vez centrándose en los cubos S3 desechables.

Ataque ‘aterrador simple’ para lograr

Cuando se le preguntó sobre la viabilidad de abusar de este tipo de infraestructura de Internet abandonada, dijo Harris El registro que sería «terriblemente simple» lograrlo.

Después de identificar un cubo S3 que se espera que aloje una actualización o código de software para su implementación y darse cuenta de que el cubo ya no existe, un atacante simplemente necesitaría hacer lo que WatchToWr hizo a continuación: vuelva a registrar este cubo S3 con el mismo nombre dentro de su AWS cuenta.

Luego «coloque su propio ejecutable y/o código en la ruta esperada por el mecanismo de código de implementación/actualización de software antes mencionado y vea un número significativo de sistemas, y redes confidenciales, retire su carga útil», dijo Harris.

«Este escenario es exactamente lo que vimos que se desarrolla varias veces en los 150 cubos de muestra S3 que volvimos a registrar para esta investigación», agregó. Y si bien es posible que las aplicaciones usen mecanismos para verificar una actualización descargada es legítima antes de usarla, como el uso de verificaciones de firma digital, no se establece esas protecciones.

En un ejemplo de la investigación: el equipo vio un aviso de seguridad del sistema de control industrial CISA.gov desde 2012 que dirigió a los usuarios a un parche accedido a través de un cubo S3.

Desde entonces, el cubo ha sido abandonado, pero aún se hizo referencia en la página web de la CISA, y como señalaron los investigadores:

WatchToWr alertó a CISA antes de publicar la investigación, y desde entonces se ha eliminado los referenciados a la alerta del gobierno en la alerta del gobierno.

De hecho, todos los 150 ya no están en cubos de uso se han hundido, según los investigadores, que trabajaron con AWS para asegurarse de que estos cubos de almacenamiento no se puedan usar para fines nefastos en el futuro.

Y, si bien esta última investigación se centró en el almacenamiento de AWS S3, el enfoque y el tema general de la nube es agnóstico y aplicable a cualquier solución de almacenamiento administrada «, explicó el equipo. «El S3 de Amazon resultó ser la primera solución de almacenamiento en la que pensamos, y estamos seguros de que este mismo desafío se aplicaría a cualquier uso del cliente/organización de cualquier solución de almacenamiento proporcionada por cualquier proveedor de nubes».

Amazon, por su parte, segura El registro que «los servicios e infraestructura de AWS están funcionando como se esperaba». Un portavoz nos dijo:

El gigante de la nube también señaló que proporciona orientación sobre las mejores prácticas, y estos incluyen el uso de identificadores únicos al crear nombres de deseos para evitar la reutilización accidental, así como garantizar que las aplicaciones estén configuradas correctamente para hacer referencia solo a los cubos de propiedad del cliente.

«En 2020 lanzamos el condición de propiedad de cubos Característica y alentó a los clientes a usar este mecanismo, específicamente diseñado para evitar la reutilización no deseada de los nombres de los cubos «, dijo el portavoz, y agregó que» AWS solicita que los investigadores participen con nuestros programa de investigación de seguridad antes de realizar investigaciones que involucran servicios de AWS «.

Amazon no dijo por qué no prohíbe la reutilización de los nombres de cubos S3, que es lo que Watchtowr dice que sería la forma más fácil de solucionar el problema.

«Hemos compartido repetidamente, como un registro roto, compartimos nuestra creencia con los equipos de AWS que se comprometieron con nosotros que la solución más lógica al desafío aquí es evitar el registro de cubos S3 utilizando nombres que se habían utilizado anteriormente», dijo Harris. «Este enfoque mataría por completo a esta clase de vulnerabilidad (infraestructura abandonada) en el contexto de AWS S3».

Admite que hay un argumento sobre la seguridad versus la usabilidad y la «capacidad de transferir cubos S3 entre cuentas». Pero, agregó Harris, «nos preguntamos si estos requisitos superan el impacto que hemos demostrado a través de nuestra investigación». ®

Source link