Se ha descubierto una vulnerabilidad de seguridad crítica en las organizaciones de AWS que podría permitir a los atacantes lograr un control completo sobre entornos AWS de cuenta multi-cuenta a través de una política administrada incorrecta.
La falla, identificada en la Política de Política administrada de AmazonGuardDutyfulLaccess, permite la escalada de privilegios de una cuenta de miembro comprometida a la adquisición organizacional completa, incluido el control potencial de la cuenta de gestión misma.
La vulnerabilidad proviene de un permiso de alcance inadecuado dentro de la política administrada por AWS que otorga a las organizaciones: RegistroDelegatedAdMinistrator Action con acceso de recursos sin restricciones.
Esta supervisión permite a los atacantes que comprometen a un usuario o un papel en la cuenta de gestión con la política vulnerable adjunta para registrar cualquier cuenta dentro de la organización como administrador delegado para servicios confidenciales, evitando efectivamente los límites de seguridad previstos.
El vector de ataque aprovecha la función del administrador delegado de las organizaciones de AWS, que fue diseñada para reducir la dependencia de cuentas de gestión altamente privilegiadas al permitir que las cuentas miembros específicas administren los servicios en toda la organización.
Sin embargo, la política escopada mal transforma esta característica de seguridad en un poderoso mecanismo de escalada.
Un atacante puede encadenar los privilegios de delegación con control sobre una cuenta de miembro para obtener acceso administrativo a servicios críticos, como AWS Identity and Access Management Identity Center (anteriormente SSO) o las pilas de CloudFormation en todas las cuentas organizacionales.
Investigadores cimulados identificado Esta vulnerabilidad durante su investigación de las organizaciones de AWS se transmite y compromete escenarios de compromiso.
El equipo de investigación, dirigido por Ben Zamir, descubrió que la estructura excesivamente permisiva de la política podría permitir a los atacantes delegar servicios confidenciales a cuentas bajo su control, manipulando posteriormente la gestión de identidad de toda la organización o desplegar infraestructura maliciosa en todo el entorno.
El proceso de explotación técnica implica varios pasos críticos que demuestran la gravedad de esta vulnerabilidad.
Una vez que un atacante compromete una identidad de la cuenta de gestión con la política vulnerable, puede ejecutar el siguiente comando para registrar una cuenta controlada como administrador delegado:–
AWS Organizaciones Registro de registro-Delegado Administrador –Count-ID –Service-PRICIPAL
Mecanismo de escalada de persistencia y privilegio
El aspecto más preocupante de esta vulnerabilidad radica en su capacidad para establecer el acceso persistente en toda la organización a través de características legítimas de AWS.
Persistencia y escalada de privilegios (Fuente – Cymulate)
Cuando un atacante registra con éxito una cuenta comprometida como administrador delegado para el centro de identidad de AWS, obtiene la capacidad de manipular conjuntos de permisos, grupos de usuarios y configuraciones de acceso a todas las cuentas organizacionales.
Esta capacidad les permite agregar identidades maliciosas a grupos de alto privilegio o restablecer contraseñas de usuarios con acceso administrativo a la cuenta de administración.
El mecanismo de persistencia es particularmente insidioso porque opera a través de canales de delegación legítimos que pueden no desencadenar alertas de seguridad tradicionales.
Flujo de ataque (fuente – cimulado)
Los atacantes pueden modificar los conjuntos de permisos existentes o crear otros nuevos con privilegios elevados, asegurando el acceso continuo incluso si el vector de compromiso inicial se descubre y remedia.
Además, el acceso organizacional de solo lectura otorgado a los administradores delegados proporciona una visibilidad completa de la estructura del medio ambiente, lo que permite a los atacantes identificar objetivos de alto valor y planificar ataques sofisticados de cuenta múltiple.
AWS ha respondido a este descubrimiento lanzando la Versión 2 de la política administrada de AmazonGuardDutyfulLaccess con restricciones de recursos más estrictas que eliminan la ruta de escalada.
Sin embargo, los roles y los usuarios existentes adjuntos a la versión 1 siguen siendo vulnerables hasta que los administradores se actualicen manualmente a la política corregida.
Las organizaciones deben auditar inmediatamente a todos los directores utilizando la política vulnerable e implementar la versión actualizada para evitar la explotación potencial de esta falla de seguridad crítica.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
