Заброшенное облачное хранилище AWS: крупный вектор кибератак

Новое исследование показывает, как злоумышленники могут злоупотреблять удалёнными контейнерами AWS S3, чтобы создавать всевозможные беспорядки, включая атаку на цепочку поставок в стиле SolarWinds.

Новое исследование показало, что заброшенные облачные хранилища представляют собой серьёзную, но зачастую недооцененную угрозу безопасности Интернета.

Риски возникают, когда злоумышленники обнаруживают и перерегистрируют эти заброшенные цифровые репозитории под их первоначальным именем, а затем используют их для доставки вредоносного ПО или выполнения других вредоносных действий против тех, кто продолжает запрашивать у них файлы.

Угроза, далёкая от теоретической

Угроза далека от теоретической, и уязвимость, на самом деле, невероятно легко эксплуатировать, как недавно обнаружили исследователи из watchTowr. Результаты стали продолжением предыдущего исследования, которое они провели в прошлом году по рискам, связанным с истекшими и заброшенными доменными именами в Интернете .

Для последнего исследования исследователи сначала искали в Интернете корзины Amazon AWS S3, на которые есть ссылки в коде развёртывания или механизме обновления программного обеспечения. Затем они проверили, извлекают ли эти механизмы неподписанные или непроверенные исполняемые файлы или код из корзин S3.

Исследователи обнаружили около 150 контейнеров S3, которые в какой-то момент времени использовались правительственной организацией, компанией из списка Fortune 500, технологической компанией, поставщиком решений по кибербезопасности или крупным проектом с открытым исходным кодом для развёртывания программного обеспечения, обновлений, конфигураций и аналогичных целей, а затем были заброшены.

Чтобы проверить, что произойдет, watchTowr зарегистрировал неиспользуемые бакеты, используя их оригинальные имена, на общую сумму около 400 долларов США и включил вход в них, чтобы увидеть, кто может запрашивать файлы из каждого бакета S3. Компания также хотела узнать, что эти пользователи будут запрашивать из ресурсов хранилища. К их удивлению, за двухмесячный период бакеты S3 получили ошеломляющие 8 миллионов запросов файлов, на многие из которых исследователи могли бы очень легко ответить вредоносным ПО или каким-либо другим вредоносным действием.

Среди тех, кто запросил файлы из заброшенных контейнеров S3, были правительственные учреждения США, Великобритании, Австралии и других стран, компании из списка Fortune 100, крупная сеть платежных карт, компания-производитель промышленной продукции, глобальные и региональные банки, а также компании, занимающиеся кибербезопасностью.

«Мы не «снайперили» S3-контейнеры, когда они были удалены, и не использовали никаких «продвинутых» методов для регистрации этих S3-контейнеров», — заявили исследователи watchTowr в своём отчете. «Мы просто… ввели имя в поле ввода и использовали силу одного пальца, чтобы нажать «регистрировать».

Анализ WatchTowr показал, что контейнеры S3 получают запросы на широкий спектр файлов, включая обновления программного обеспечения; неподписанные двоичные файлы Windows, Linux и macOS; образы виртуальных машин; файлы JavaScript; конфигурации SSL VPN; и шаблоны CloudFormation для определения и предоставления сервисов облачной инфраструктуры AWS в виде кода.

Если бы исследователи захотели, они могли бы элементарно ответить на любой из этих запросов, например, вредоносным обновлением программного обеспечения или шаблоном, который позволил бы им получить доступ к среде AWS запрашивающей организации, или виртуальной машиной с бэкдором.

«Ужасающе простой» вектор облачной кибератаки?

«Главный вывод, — говорит Бенджамин Харрис, генеральный директор watchTowr, — это ужасающе простой способ, с помощью которого хакеры могут организовать масштабную атаку на цепочку поставок SolarWinds, используя относительно неизвестный класс уязвимости заброшенной инфраструктуры ».

По данным watchTowr, хотя исследование было сосредоточено на контейнерах AWS, те же риски существуют для любого заброшенного ресурса облачного хранилища, который кто-то может найти и повторно зарегистрировать, используя исходное имя.

«Это, конечно, не проблема AWS», — говорит Харрис Dark Reading. «Однако крайне важно, чтобы клиенты AWS понимали, что как только облачный ресурс создан, использован и указан в коде — например, в процессе обновления ПО, в руководстве по развёртыванию или иным образом — эта ссылка будет существовать вечно», — говорит он. Последствия этой ссылки сохранятся навсегда, как показало исследование watchTowr, предупреждает он.

По словам Харриса, watchTowr пытался заставить AWS прекратить регистрацию контейнеров S3 под ранее используемыми именами.

«Мы неоднократно, как заезженная пластинка, делились своим убеждением с командами AWS, которые с нами сотрудничали, что наиболее логичным решением этой проблемы является предотвращение регистрации S3-корзин с использованием имен, которые использовались ранее», — говорит он. Такой подход полностью уничтожил бы этот класс уязвимости — заброшенную инфраструктуру — в контексте AWS S3-корзин.

«Как всегда, вероятно, возникнет спор о компромиссе в удобстве использования, возможности переноса контейнеров S3 между аккаунтами и т. д.», — добавляет он. «Но мы задаемся вопросом, перевешивают ли эти требования влияние, которое мы продемонстрировали в ходе нашего исследования».

AWS реагирует на угрозу заброшенного хранилища S3

AWS сама быстро заблокировала S3-контейнеры, которые идентифицировала watchTowr, поэтому сценарии атак, которые поставщик безопасности выделил в своём отчете, не будут работать против тех же ресурсов, хотя более широкая проблема остается.

«Проблемы, описанные в этом блоге, возникали, когда клиенты удаляли S3-корзины, на которые все ещё ссылались сторонние приложения», — рассказал представитель AWS Dark Reading. «После проведения исследования без уведомления AWS, watchTowr предоставила AWS имена корзин, и для защиты наших клиентов мы заблокировали повторное создание этих конкретных корзин».

В заявлении, предоставленном этим лицом, упоминается руководство, которое AWS предоставила клиентам по лучшим практикам работы с облачными контейнерами и по использованию уникальных идентификаторов при создании имен контейнеров для предотвращения непреднамеренного повторного использования. Компания также предоставила руководство по обеспечению правильной настройки приложений для ссылки только на контейнеры, принадлежащие клиентам, говорится в заявлении: «В 2020 году мы запустили функцию условия владения контейнером и призвали клиентов использовать этот механизм, специально разработанный для предотвращения непреднамеренного повторного использования имен контейнеров».

В заявлении также содержится просьба к исследователям взаимодействовать с командой безопасности компании, прежде чем проводить исследования, связанные с услугами компании.

Контакты, администрация и авторы