in

Amazon Web Services parchea la vulnerabilidad ‘Superglue’

03DYFnG7v841p625c3SnZbc 1.fit lim.size 1200x630.v1642109894

El equipo de investigación de seguridad de Orca ha revelado públicamente fallas en dos herramientas de Amazon Web Services (AWS) que podrían haber permitido el acceso no autorizado a las cuentas y haberse utilizado para filtrar archivos confidenciales. Ambos errores han sido parcheados por completo.


Super pegamento

La primera falla, que Orca denominó Superglue, era un problema en AWS Glue que los usuarios podían explotar para obtener acceso a la información administrada por otros usuarios de AWS Glue.

Amazon Web Services (AWS) describe a Glue como «un servicio de integración de datos sin servidor que facilita descubrir, preparar y combinar datos para análisis, aprendizaje automático y desarrollo de aplicaciones». Es justo decir que los clientes de AWS lo usan para administrar grandes cantidades de datos. Tan grande, de hecho, que AWS permite a los usuarios de Glue almacenar hasta 1 millón de objetos de forma gratuita.

«Pudimos identificar una característica en AWS Glue que podría explotarse para obtener credenciales para un rol dentro de la propia cuenta del servicio de AWS», dice Orca, «lo que nos proporcionó acceso completo a la API del servicio interno. En combinación con una configuración interna incorrecta en la API del servicio interno de Glue, pudimos escalar aún más los privilegios dentro de la cuenta hasta el punto en que teníamos acceso sin restricciones a todos los recursos para el servicio en la región, incluidos los privilegios administrativos completos».

aws

La compañía dice que pudo explotar esta falla para:

  1. Asuma funciones en las cuentas de clientes de AWS en las que confía el servicio Glue. En cada cuenta que usa Glue, hay al menos un rol de este tipo.

  2. Consulte y modifique los recursos relacionados con el servicio de AWS Glue en una región. Esto incluye, entre otros, metadatos para: trabajos de pegado, puntos finales de desarrollo, flujos de trabajo, rastreadores y disparadores.

Orca dice que confirmó la capacidad de acceder a la información administrada por otros usuarios de AWS Glue utilizando numerosas cuentas que controlaba; la empresa no obtuvo acceso a los datos de nadie más mientras investigaba esta falla. También dice que AWS respondió a su divulgación en unas pocas horas, tuvo una mitigación parcial al día siguiente y mitigó completamente el problema «unos días después».


RompiendoFormación

La segunda falla afectó a AWS CloudFormation, que según AWS «le permite modelar, aprovisionar y administrar recursos de AWS y de terceros al tratar la infraestructura como código». (Este paradigma de «infraestructura como código» se ha vuelto cada vez más popular entre las empresas que buscan hacer que la configuración y el mantenimiento de sus redes y herramientas sean más convenientes a medida que cambian a la nube).

Orca llamó a la segunda falla BreakingFormation y dice que «podría haberse usado para filtrar archivos confidenciales encontrados en la máquina de servicio vulnerable y hacer que las solicitudes del lado del servidor (SSRF) sean susceptibles a la divulgación no autorizada de credenciales de servicios de infraestructura internos de AWS». Dice que la falla fue «completamente mitigada dentro de los 6 días» de su divulgación a AWS.

Recomendado por Nuestros Editores

BleepingComputer señala que el vicepresidente de AWS, Colm MacCárthaigh, ofreció más información sobre la falla de BreakingFormation en Twitter. El primer tuit de MacCárthaigh respondió a la afirmación de que la falla mostraba que Orca había «obtenido acceso a todos los recursos de AWS en todas las cuentas de AWS». con lo siguiente:

El CTO de Orca, Yoav Alon, también tuiteó que el alcance de CloudFormation no era tan amplio como parecía en el tweet original. MacCárthaigh siguió con un hilo sobre los hallazgos de Orca:

«Inmediatamente informamos el problema a AWS», dice Orca, «quien actuó rápidamente para solucionarlo. El equipo de seguridad de AWS codificó una solución en menos de 25 horas y llegó a todas las regiones de AWS en 6 días. Los investigadores de Orca Security ayudaron a probar el corrección para garantizar que esta vulnerabilidad se resolvió correctamente y pudimos verificar que ya no se podía explotar».

¿Te gusta lo que estás leyendo?

Matricularse en Vigilancia de seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.

function facebookPixelScript() { if (!facebookPixelLoaded) { facebookPixelLoaded = true; document.removeEventListener('scroll', facebookPixelScript); document.removeEventListener('mousemove', facebookPixelScript);

!function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function(){n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)};if(!f._fbq)f._fbq=n; n.push=n;n.loaded=!0;n.version='2.0';n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(window, document,'script','//connect.facebook.net/en_US/fbevents.js');

fbq('init', '454758778052139'); fbq('track', "PageView"); } }