- 19,455
- 40
- 8 Ноя 2022
Вышел на S3, вернулся с root-доступом.
Специалисты Для просмотра ссылки Войдиили Зарегистрируйся серьёзные риски, связанные с политиками доступа по умолчанию в облачной инфраструктуре Amazon Web Services. Эти настройки, зачастую создаваемые автоматически при запуске таких сервисов, как SageMaker, Glue, EMR и Lightsail, позволяют злоумышленникам не только повысить привилегии, но и получить контроль над другими компонентами среды AWS — вплоть до полного захвата аккаунта.
Основная проблема заключается в том, что IAM-роли, генерируемые сервисами AWS по умолчанию, обладают чрезмерно широкими правами, включая полный доступ к хранилищу Amazon S3. По словам специалистов компании Aqua, такие роли становятся удобным входом для злоумышленника, уже имеющего минимальный доступ в систему: он может использовать их для бокового перемещения по инфраструктуре и дальнейшего усиления своего присутствия.
Особенно опасной оказалась роль <code>ray-autoscaler-v1</code>, автоматически создаваемая фреймворком Ray — популярным инструментом с открытым исходным кодом, активно применяемым в задачах масштабируемого машинного обучения. Эта роль также содержит политику AmazonS3FullAccess, открывая путь для манипуляций со всем содержимым хранилищем S3 в рамках аккаунта.
Среди уязвимых Для просмотра ссылки Войдиили Зарегистрируйся , которые могут быть реализованы атакующим, рассматриваются подмена шаблонов CloudFormation, внедрение вредоносных скриптов в EMR и ресурсы SageMaker, а также распространение закладок и кража IAM-учётных данных. Всё это позволяет атакующему не только расширять полномочия, но и выходить за пределы изначально доступного сегмента.
Авторы отчёта отдельно подчёркивают, что эти атаки представляют собой более широкий вектор, чем известные bucket monopoly-атаки, при которых преступники занимают предсказуемые имена хранилищ в незанятых регионах AWS. В данном случае угадывать ничего не нужно — доступ уже есть, и его достаточно, чтобы обойти изоляцию между сервисами внутри одного аккаунта.
Вот лишь некоторые примеры сервисов AWS, которые создают такие чрезмерно открытые роли:
После раскрытия уязвимости компания Amazon скорректировала политику AmazonS3FullAccess для ролей по умолчанию. Тем не менее, эксперты призывают не полагаться на автоматические настройки и вручную проверять, ограничивать и пересматривать права уже существующих ролей.
Дополнительно, отдельное исследование Varonis Для просмотра ссылки Войдиили Зарегистрируйся уязвимость в предустановленной утилите Для просмотра ссылки Войди или Зарегистрируйся на виртуальных машинах Microsoft Azure AI и HPC. Уязвимость позволяла обычному пользователю Linux-системы с установленным инструментом повысить свои привилегии до root благодаря неправильно сконфигурированному SUID-бинарному файлу. После этого атакующий мог монтировать новые хранилища, устанавливать вредоносное ПО и пытаться двигаться дальше по сети.
Проблема устранена в версии Для просмотра ссылки Войдиили Зарегистрируйся утилиты, вышедшей 30 января 2025 года.
Специалисты Для просмотра ссылки Войди
Основная проблема заключается в том, что IAM-роли, генерируемые сервисами AWS по умолчанию, обладают чрезмерно широкими правами, включая полный доступ к хранилищу Amazon S3. По словам специалистов компании Aqua, такие роли становятся удобным входом для злоумышленника, уже имеющего минимальный доступ в систему: он может использовать их для бокового перемещения по инфраструктуре и дальнейшего усиления своего присутствия.
Особенно опасной оказалась роль <code>ray-autoscaler-v1</code>, автоматически создаваемая фреймворком Ray — популярным инструментом с открытым исходным кодом, активно применяемым в задачах масштабируемого машинного обучения. Эта роль также содержит политику AmazonS3FullAccess, открывая путь для манипуляций со всем содержимым хранилищем S3 в рамках аккаунта.
Среди уязвимых Для просмотра ссылки Войди
Авторы отчёта отдельно подчёркивают, что эти атаки представляют собой более широкий вектор, чем известные bucket monopoly-атаки, при которых преступники занимают предсказуемые имена хранилищ в незанятых регионах AWS. В данном случае угадывать ничего не нужно — доступ уже есть, и его достаточно, чтобы обойти изоляцию между сервисами внутри одного аккаунта.
Вот лишь некоторые примеры сервисов AWS, которые создают такие чрезмерно открытые роли:
- <strong>Amazon SageMaker</strong>: автоматически создаёт роль <code>AmazonSageMaker-ExecutionRole-<дата-время></code> с кастомной политикой, аналогичной полной политике AmazonS3FullAccess;
- <strong>AWS Glue</strong>: использует <code>AWSGlueServiceRole</code> с теми же полномочиями;
- <strong>Amazon EMR</strong>: генерирует роль <code>AmazonEMRStudio_RuntimeRole_<время></code>, которой также назначается полный доступ к S3.
После раскрытия уязвимости компания Amazon скорректировала политику AmazonS3FullAccess для ролей по умолчанию. Тем не менее, эксперты призывают не полагаться на автоматические настройки и вручную проверять, ограничивать и пересматривать права уже существующих ролей.
Дополнительно, отдельное исследование Varonis Для просмотра ссылки Войди
Проблема устранена в версии Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
