Casi dos docenas de API de AWS son vulnerables al abuso



Los atacantes pueden realizar un reconocimiento de identidad contra una organización en su tiempo libre sin ser detectados, dice Palo Alto Networks.

Se puede abusar de casi dos docenas de interfaces de programación de aplicaciones (API) en 16 ofertas diferentes de Amazon Internet Services para permitir que los atacantes obtengan la lista y la estructura interna de la cuenta en la nube de una organización para lanzar ataques dirigidos contra personas.

Todo lo que un actor de amenazas necesitaría para llevar a cabo el ataque es el ID de AWS de 12 dígitos de la organización objetivo, algo que se united states of america y comparte públicamente, dijo Palo Alto Networks esta semana.

En un informe, el proveedor de seguridad dijo que se podría abusar de todas las API afectadas de la misma manera en las tres particiones o regiones de AWS (aws, aws-us-gov y aws-cn). Los servicios de Amazon que son vulnerables incluyen Amazon Uncomplicated Storage Services (S3), Amazon Critical Administration Company (KMS) y Amazon Very simple Queue Company (SQS).

Jay Chen, investigador principal de la nube de la Unidad 42 de Palo Alto Networks, dice que el problema tiene que ver con una función de diseño de AWS que está destinada a ayudar a los usuarios a evitar errores tipográficos y errores al escribir una política. «Los mensajes de mistake brindan inadvertidamente demasiada información, de modo que un atacante puede averiguar si un usuario o función en specific existe en otra cuenta de AWS».

Específicamente, la causa del problema radica en cómo la función de administración de identidad y acceso de AWS maneja un tipo específico de política, conocida como política basada en recursos, que está asociada con Recursos de AWS como un bucket de S3 o una instancia de Amazon EC2. En whole, 26 servicios de AWS admiten políticas basadas en recursos.

Según Palo Alto Networks, Las políticas basadas en recursos de AWS incluyen un campo que especifica los usuarios o roles que tienen permiso para acceder a recursos específicos. Si una política contiene una identidad que no está incluida en el campo, la llamada a la API asociada con la política devolverá un mensaje de error. Si bien la función es útil, los atacantes pueden abusar de ella fácilmente para intentar enumerar o descubrir todos los usuarios y roles asociados con la cuenta de AWS de una organización.

«Por ejemplo, si un atacante conoce el ID de la cuenta de AWS de una empresa, el atacante podría usar esta información para preguntar en una política basada en recursos &#39¿existe el usuario X en esta cuenta?&#39», Explica Chen.

Al especificar diferentes nombres de usuario o rol en una política basada en recursos, el atacante puede aprender rápidamente del mensaje de error si existe un rol o usuario en particular en la cuenta de destino. «El atacante puede seguir haciendo esta pregunta con diferentes nombres y eventualmente mapear todos los usuarios / roles en esta cuenta», dice Chen.

Esto permitiría al atacante lanzar otros ataques, como buscar roles mal configurados que podrían explotarse o enviar correos electrónicos de spear-phishing altamente dirigidos a personas de una organización. De manera significativa, AWS no registra actualmente dicha actividad, por lo que la organización objetivo no estaría al tanto del reconocimiento de identidad que se está llevando a cabo en su cuenta, dice Chen.

Fácil de abusar
«Básicamente, las API necesitan que se invoque la información del usuario», dice Setu Kulkarni, vicepresidente de estrategia de WhiteHat Protection. «Cuando la información del usuario no es válida, la invocación de la API da como resultado un mensaje de error, explícitamente al hacker que indica que dicho usuario no tiene acceso». Un pirata informático con una lista de cuentas de Amazon podría recorrer las listas de usuarios para invocar una API específica y un reconocimiento de rendimiento, dice Kulkarni.

Con suficiente tiempo, un atacante podría forzar una lista de usuarios y políticas de roles y buscar configuraciones erróneas que permitirían la toma de management de la cuenta, dice Charles Ragland, ingeniero de seguridad de Digital Shadows. «El problema principal con la vulnerabilidad es que los mensajes de error se registran en la cuenta del atacante por lo tanto, la víctima no se dará cuenta de este ataque».

AWS no respondió de inmediato a una solicitud de Dim Reading para comentar sobre la investigación de Palo Alto Community.

El problema que Palo Alto Networks descubrió con las API de Amazon es el ejemplo más reciente de lo que muchos expertos en seguridad dicen es la creciente amenaza a la seguridad empresarial de las API inseguras. Un informe de Forrester Research a principios de este mes describió las infracciones relacionadas con API como cada vez más comunes y presentando el próximo gran vector de ataque para los actores de amenazas. Según la firma de analistas, las API que abren datos y servicios empresariales a World-wide-web presentan el mismo riesgo para la seguridad empresarial que las aplicaciones internet vulnerables. Sin embargo, muchas organizaciones no los están abordando con el mismo rigor o enfoque, dijo Forrester.

Chen dice que las organizaciones pueden mitigar el impacto potencial de la amenaza de AWS que Palo Alto Networks descubrió practicando las mejores prácticas de administración de identidad y acceso. Las medidas que pueden ayudar incluyen la eliminación de roles y nombres de usuario inactivos, la adición de cadenas aleatorias a los nombres de roles y usuarios para hacerlos más difíciles de adivinar, y la implementación de controles para garantizar que no se creen usuarios adicionales en la cuenta de AWS sin la debida autorización. Habilitar la autenticación de dos factores y el registro y monitoreo de todas las actividades de autenticación de identidad también es esencial, dice Chen.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first