AWS, Müşterilerinin Verilerini Açığa Çıkaran Güvenlik Açığını Giderdi
Amazon Web Services (AWS), saldırganların AWS müşteri hesaplarıyla bağlantılı verilere erişmesine ve bunları değiştirmesine izin veren bir AWS Glue güvenlik sorununu giderdi.
Glue, uygulama geliştirme, makine öğrenimi ve analitik için verileri keşfetmeye, hazırlamaya ve birleştirmeye yardımcı olan sunucusuz bir bulut veri entegrasyon hizmetidir.
Zafiyet, istismar edilebilir bir Glue özelliğinden ve Orca Security güvenlik araştırmacılarının bölgedeki tüm hizmet kaynaklarına erişim elde etmek için ayrıcalıkları yükseltmesine izin veren dahili bir hizmet API’sinin yanlış yapılandırılmasından kaynaklandı.
Orca Security’de Bulut Güvenliği Araştırmacısı olan Yanir Tsarimi ilgili güvenlik açığı ile ilgili yaptığı açıklamada şu ifadeleri kullandı: “Araştırmamız sırasında, AWS Glue servisinde AWS hizmetinin kendi hesabındaki bir role ilişkin kimlik bilgilerini almak için kullanılabilecek ve dahili hizmet API’sine tam erişim sağlayan bir özellik tespit ettik.”
“Glue dahili hizmet API’sindeki dahili bir yanlış yapılandırmayla birlikte, hesap içindeki ayrıcalıkları, tam yönetici ayrıcalıkları da dahil olmak üzere bölgedeki hizmet için tüm kaynaklara sınırsız erişime sahip olduğumuz noktaya kadar yükseltebildik.”
Araştırmacılar bulgularının yalnızca Orca Security’ye ait Amazon Web Services hesapları kullanılarak ortaya çıkarıldığını ve araştırmaları sırasında diğer AWS müşterilerine ait bilgi veya verilere erişmediklerini ekledi.
Araştırmacılar, güvenlik açığını araştırırken, diğer AWS müşterilerinin hesaplarında Glue hizmeti tarafından güvenilen roller üstlendiler.
Glue ekibi, Orca Security’nin raporunu aldıktan sonra birkaç saat içinde ilgili güvenlik açığını onayladı ve ertesi sabaha kadar sorunu küresel olarak kısmen de olsa giderdi.
Sadece birkaç gün içinde de Superglue güvenlik açığını tam olarak gidererek potansiyel saldırganların Glue müşterilerinin verilerine erişmesini engellediler.
Hizmetin başlatılmasına kadar giden logların analizi yapıldı ve bu sorunla ilgili tek etkinliğin araştırmacıya ait hesaplar arasında olduğunu kesin olarak belirledik. Başka hiçbir müşterinin hesabı etkilenmedi. Glue tarafından bir müşterinin hesabında gerçekleştirilen tüm eylemler, müşteriler tarafından kontrol edilen ve görüntülenebilen CloudTrail kayıtlarına kaydedilir. — Amazon Web Services
Amazon Web Services Güvenlik Ekibi, Orca Security tarafından AWS CloudFormation hizmetinde (BreakingFormation olarak adlandırılan) bulunan ikinci bir güvenlik açığını da düzeltti.
Araştırmacılara göre, bu XXE (XML External Entity) kusuru, dahili AWS altyapı hizmetlerinin dosya ve kimlik bilgilerinin açığa çıkarılmasına yol açmakta.
Orca Security’den Tzah Pahima, bu XXE açığı ile ilgili bir açıklama yaptı: “Araştırma ekibimiz, ana bilgisayarda bulunan veriler (kimlik bilgileri ve dahili uç noktaları içeren veriler dahil) göz önüne alındığında, bir saldırganın kullanıcı sınırlarını aşmak için bu güvenlik açığını kötüye kullanabileceğine ve onlara AWS’deki herhangi bir kaynağa ayrıcalıklı erişim verebileceğine inanıyor.”
Ancak Amazon Web Services Başkan Yardımcısı Colm MacCárthaigh, BreakingFormation hatasının yalnızca ana bilgisayar düzeyinde kimlik bilgilerine erişmek için kullanılabileceğini ve AWS CloudFormation ana bilgisayarlarının tüm AWS hesaplarındaki kaynaklara erişimi olmadığını söyleyerek güvenlik firmasının iddialarını reddetti.
Kaynak: bleepingcomputer.com
Diğer Haberler
Microsoft, Hatalara Neden Olan Windows Server Güncellemelerini Geri Çekiyor!
Apple, İphone’ları Ve İpad’leri Devre Dışı Bırakabilen DoorLock Hatasını Düzeltiyor
Windows Server Güncellemeleri DC Boot Loop’a Neden Oluyor, Hyper-V’yi Bozuyor
