Un reporte de la firma de seguridad en la nube Orca Security señala la detección de un conjunto de vulnerabilidades día cero en diversas implementaciones de Amazon AWS Cloud. La explotación exitosa de estos errores permitiría la filtración de archivos y credenciales de usuarios desde servicios internos de la compañía.
Identificada por el investigador Tzah Pahima, la primera vulnerabilidad reside en AWS CloudFormation y fue descrita como un error XXE que permitiría a los actores de amenazas extraer archivos confidenciales en los sistemas vulnerables, además de desplegar ataques de falsificación de solicitudes del lado del servidor (SSRF).
El experto agrega que la función de rendering de plantillas en CloudFormation hizo posible desencadenar la vulnerabilidad XXE y eventualmente acceder a los archivos confidenciales en el servidor. La explotación exitosa del ataque permitiría acceder a archivos de configuración e información sobre los servidores de AWS. Como se menciona anteriormente, entre esta información destacan credenciales de acceso y otros datos relacionados con endpoints internos.
Otra falla destacada reside en el servicio AWS Glue y su explotación permitiría a los atacantes crear recursos y acceder a datos de otros clientes afectados. El investigador menciona que la explotación de este error fue un proceso bastante largo, pero los errores de configuración interna en Amazon AWS Glue facilitan el abuso de esta falla.
Un análisis posterior permitió descubrir que otra característica en AWS Glue podría ser abusada para extraer las credenciales de usuarios a cargo de cuentas AWS y acceder a la API del servicio interno. La explotación encadenada de dos fallas también podría conducir a un escenario de escalada de privilegios.
La explotación de esta falla permitió al investigador desplegar algunas tareas maliciosas, incluyendo:
- Tomar las funciones en las cuentas de clientes de AWS en las que confía el servicio Glue
- Acceder y modificar los recursos relacionados con el servicio de AWS Glue en una región determinada, incluyendo metadatos para trabajos de Glue, endpoints de desarrollo y flujos de trabajo
Las fallas ya han sido informadas y abordadas por Amazon. La buena noticia es que, hasta el momento, no se han detectado intentos de explotación activa.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.