Falhas Detectadas na AWS Podem Permitir Roubo de Dados e Acesso Total de Contas

A segurança da AWS está sob os holofotes após especialistas descobrirem vulnerabilidades críticas que oferecem uma ampla gama de riscos para as organizações, incluindo execução remota de código (RCE), apropriação de serviços e exfiltração de dados.
Uma equipe de pesquisa de segurança cibernética trouxe à tona graves falhas nas ofertas da Amazon Web Services, que podem levar a consequências drásticas caso sejam exploradas por atacantes. Estas vulnerabilidades variam desde a execução de código remoto até o roubo de informações sensíveis e controle total sobre a conta da vítima, conforme destacado pela Aqua Security em um relatório divulgado à mídia especializada.
Os pesquisadores comunicaram a descoberta à Amazon em fevereiro de 2024, resultando em correções implementadas ao longo dos meses subsequentes, com as falhas sendo oficialmente apresentadas durante a conferência Black Hat USA em 2024.
No cerne das descobertas está um vetor de ataque denominado “Bucket Monopoly”, que explora a criação automática de buckets S3 na AWS quando serviços como CloudFormation, Glue, EMR, SageMaker, ServiceCatalog e CodeStar são usados. Os invasores podem antecipar-se à criação destes buckets e se posicionar para obter acesso não autorizado aos dados armazenados no bucket assim que um cliente legítimo da AWS ativar os referidos serviços vulneráveis.
Com táticas estratégicas, os atacantes podem estabelecer controle completo sobre a conta da vítima, implantando código malicioso em todas as regiões disponíveis da AWS e aguardando a ativação de um serviço susceptível para que a ação mal-intencionada seja realizada, o que inclui a criação de um usuário administrador sem que o legítimo titular da conta tome conhecimento.
A vulnerabilidade foi encontrada em mais cinco serviços da AWS, todos eles susceptíveis ao mesmo tipo de ataque devido à metodologia de nomenclatura previsível dos buckets S3 utilizados. Dentre as recomendações emitidas pela Aqua, ressalta-se a importância de tratar os IDs das contas da AWS como informação sensível e a necessidade de utilizar identificadores aleatórios para evitar ataques predatórios.
O relatório da Aqua também adverte para a profundidade do problema, observando que não se trata apenas de um vácuo na segurança da AWS. Muitos projetos de código aberto que automatizam a criação de buckets S3 no ambiente da AWS estão igualmente em risco.
A recomendação aos usuários da plataforma é garantir que os nomes dos buckets S3 sejam construídos com identificadores únicos e aleatórios para cada região e conta, de modo a minimizar a superfície de ataque e prevenir apropriações indesejadas.
O TecMania mantém você atualizado com as últimas notícias do setor de tecnologia e cibersegurança.