查看原文
其他

多租户AWS漏洞暴露账户资源

Ionut Arghire 代码卫士 2024-03-26

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Amazon Web Services (AWS) 中存在一个多租户漏洞,可导致攻击者滥用 AWS AppSync 获得对组织机构账户中的资源。

云安全公司 Datadog 安全实验室解释称,攻击者可利用该AWS AppSync 服务在其它 AWS 账户中承担身份和访问管理 (IAM) 角色,获得这些账户中的资源。该Appsync 服务可使开发人员创建 GraphQL 和 Pub/Sub API,每种都具有相关的数据资源,并直接调用AWS API,创建AWS 服务集成,通过IAM权限定义角色。

该漏洞是“混淆代理问题”,原因是它允许权限稍低的实体(攻击者)诱骗权限更高的实体 (AppSync) 以其名义执行具体操作。

为阻止此类攻击,在创建数据来源的过程中,AWS验证针对AWS账户的该角色的唯一标志符 Amazon 资源名称 (ARN)。如果两者不匹配,则API 会显示错误。研究人员发现在验证过程中,“API将接受使用混合案例属性的 JSON payload”。该ARN 在serviceRoleARN 参数中传递,可用于绕过该验证流程。在本质上,该机制可使研究员“在不同的AWS账户中提供角色的 ARN”。

研究人员指出,“通过绕过ARN验证,我们能够在其它AWS账户中创建和角色相关联的AppSync 数据来源。这就可使攻击者与角色相关联的任何资源交互,信任任何账户中的 AWS AppSec 服务。”

研究人员表示,该漏洞可被用于创建指向其它AWS账户中的 AppSync API 数据来源,本质是在这些账户中访问数据。研究员已在9月1日将问题告知AWS,后者在9月6日推出补丁。

本周,AWS发布安全公告表示,该漏洞本可悲滥用于绕过 AppSync 的跨账户角色用途验证并访问其它客户账户中的资源。AWS提到,“任何客户均未受到该漏洞影响,无需采取任何操作。目前已分析自服务发布之日的日志,我们认为与该问题相关联的唯一一起活动发生在研究人员所控制的账户之间。其它客户账户并未受影响。”



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读
适用于Kubernetes 的AWS IAM 验证器中存在漏洞,导致提权等攻击
PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点
热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥
如何找到 AWS 环境下应用程序中易于得手的漏洞?
亚马逊 AWS 大宕机,大量互联网服务无法使用



原文链接

https://www.securityweek.com/cross-tenant-aws-vulnerability-exposed-account-resources


题图:Pixabay License‍



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存