Amazon Web Services (AWS) a résolu un problème de sécurité AWS Glue qui permettait aux attaquants d’accéder et de modifier les données liées à d’autres comptes clients AWS.
Colle AWS est un service d’intégration de données cloud sans serveur qui aide à découvrir, préparer et combiner des données pour le développement d’applications, l’apprentissage automatique et l’analyse.
La faille provenait d’une fonctionnalité AWS Glue exploitable et d’une mauvaise configuration de l’API de service interne qui a permis aux chercheurs en sécurité d’Orca Security d’élever les privilèges pour accéder à toutes les ressources de service dans la région.
« Au cours de nos recherches, nous avons pu identifier une fonctionnalité dans AWS Glue qui pourrait être exploitée pour obtenir des informations d’identification pour un rôle au sein du propre compte du service AWS, ce qui nous a fourni un accès complet à l’API du service interne. expliqué Yanir Tsarimi, chercheur en sécurité cloud chez Orca Security.
« En combinaison avec une mauvaise configuration interne dans l’API du service interne Glue, nous avons pu élever davantage les privilèges au sein du compte au point où nous avions un accès illimité à toutes les ressources du service dans la région, y compris les privilèges administratifs complets. »
Les chercheurs ont ajouté que leurs découvertes n’avaient été découvertes qu’à l’aide de comptes AWS appartenant à Orca Security et qu’ils n’avaient pas accédé aux informations ou aux données appartenant à d’autres clients AWS au cours de leurs recherches.
En enquêtant sur la vulnérabilité, les chercheurs ont assumé des rôles approuvés par le service Glue dans les comptes d’autres clients AWS (chaque compte avec un accès Glue a au moins un tel rôle).
Ils ont également pu interroger et modifier les ressources liées au service AWS Glue dans une région AWS, y compris, mais sans s’y limiter, les métadonnées pour les tâches Glue, les points de terminaison de développement, les workflows, les robots d’exploration et les déclencheurs.
L’équipe de service AWS Glue a reproduit et confirmé la faille quelques heures après avoir reçu le rapport d’Orca Security et a partiellement atténué le problème à l’échelle mondiale le lendemain matin.
Ils ont déployé une atténuation complète de la vulnérabilité Superglue en quelques jours seulement, empêchant les attaquants potentiels d’accéder aux données des clients AWS Glue.
L’équipe de sécurité d’AWS a également corrigé une deuxième vulnérabilité trouvée par Orca Security dans le service AWS CloudFormation (surnommé BreakingFormation).
Selon les chercheurs, cette faille XXE (XML External Entity) a conduit à la divulgation de fichiers et d’informations d’identification des services d’infrastructure AWS internes.
« Notre équipe de recherche estime, compte tenu des données trouvées sur l’hôte (y compris les informations d’identification et les données impliquant des points de terminaison internes), qu’un attaquant pourrait abuser de cette vulnérabilité pour contourner les limites des locataires, leur donnant un accès privilégié à n’importe quelle ressource dans AWS », Tzah Pahima d’Orca Security. ajoutée.
Cependant, le vice-président d’AWS, Colm MacCárthaigh, a démenti les affirmations de la société de sécurité, affirmant que le bug BreakingFormation n’aurait pu être utilisé que pour accéder aux informations d’identification au niveau de l’hôte et que les hôtes AWS CloudFormation n’ont pas accès aux ressources de tous les comptes AWS.
Ok, voici mon résumé rapide de ce problème: @orcasec a découvert et signalé un problème qui a conduit à SSRF sur les hôtes et pourrait récupérer certains crédits et configurations au niveau de l’hôte local. Super trouvaille ! 1/n https://t.co/R2UsSrOdZ7
– Colm MacCarthaigh (@colmmacc) 13 janvier 2022