Analytiker vid IT-säkerhetsföretaget Palo Alto Networks har upptäckt att en rad olika programmeringsgränssnitt för webbtjänster i Amazon Web Services (AWS) kan användas för att komma över information om företag och verksamheter.
Informationen kan därefter användas av cyberbrottslingar för riktade attacker.
Hittills har analytikerna upptäckt 22 API:er kopplade till 16 olika tjänster som alla är sårbara för samma metod. En angripare kan använda den information som returneras i felkoden när ett API anropas från en icke-existerande användare till att kartlägga vilka roller och användare som finns i en organisation.
Grunden till sårbarheten är att AWS proaktivt validerar alla resursbaserade policys kopplade till tjänster som till exempel Amazon Simple Storage Service (S3). Identiteten på de som kan använda tjänsten specificeras vanligen i ett specifikt fält. Om en begäran kommer från en resurs där användaren är okänd och nekas access kommer ett svar med felmeddelandet att lämnas tillbaka. Det svaret kan innehålla användbar information för en angripare.
Eftersom denna typ av felmeddelande inte loggas på något annat ställe än hos den som gör anropet är attackerna svåra att upptäcka och skydda sig emot. En angripare får därigenom gott om tid på sig att leta runt oupptäckt och kartlägga en verksamhet. Angriparen kan över tid skaffa sig kunskap om vilka användare som existerar, deras behörighetsnivåer och hur organisationen är uppbyggd. Denna information kan sedan användas, till exempel för riktade angrepp mot enskilda individer.
Även om denna typ av attack är svår att skydda sig mot så finns det saker att göra för att minska sin exponering. Det Palo Alto Networks rekommenderar är att:
– Logga och övervaka alla försök till inloggning av användare
– Använd tvåfaktorsinloggning
– Ta bort inaktiva användare och roller så fort som möjligt för att minska attackytan
– Namnge användare och roller på ett sådant sätt att de blir svåra att gissa.
– Undvik att skapa nya användare i AWS, till exempel genom att istället använda en extern identitetsleverantör.
Amazon Web Services har lämnat en skriftlig kommentar till rapporten:
”AWS känner till rapporten som publicerats av Palo Alto Networks, ”Unit 42 Cloud Threat Report 2H 2020”. AWS tjänster och infrastruktur berörs inte av de problem som nämns i rapporten. Även om kunder inte behöver vidta några specifika åtgärder för att skydda sig själva från dessa, bör kunder alltid konfigurera sin tillgångskontroll i linje med våra best practices. IAM-roller är säkra i grundutförandet. Åtkomst för roller måste vara noggrant konfigurerade och hanterade via en kombination av IAM-användarpolicies och tillitsbaserade policies för roller, så att roller endast kan antas av lämpliga användare. IAM Access Analyzer är en kostnadsfri tjänst som kan hjälpa till att identifiera felkonfigurerade eller allt för tillåtande IAM-policies och aktivera den mest restriktiva åtkomstpolicyn till roller och konton.”