El kit de desarrollo en la nube (CDK) de Amazon Web Services, una popular herramienta de código abierto, permite a los equipos cibernéticos crear fácilmente una infraestructura en la nube definida por software con lenguajes de programación ampliamente utilizados, como Python y JavaScript. Pero aquí está el problema: durante la implementación y de forma predeterminada, AWS CDK crea un depósito S3 “intermedio” con una convención de nomenclatura peligrosamente predecible que, si es explotada por actores malintencionados, podría conducir a un acceso administrativo completo a la cuenta asociada.
en un nuevo informeLos investigadores de Aqua dijeron que AWS confirmó que la vulnerabilidad afectaba a aproximadamente el 1% de los usuarios de CDK. Luego, AWS notificó a los afectados por el problema a mediados de octubre. Las versiones de CDK v2.148.1 o anteriores requieren que los usuarios tomen medidas.
“Una de las conclusiones clave para los proyectos de código abierto que dependen de AWS es garantizar que no utilicen nombres de depósitos predecibles”, afirma Yakir Kadkoda, investigador principal de seguridad de Aqua. “Deben brindar a los usuarios la opción de cambiar el nombre del depósito creado por el proyecto de código abierto para su funcionamiento o implementar la verificación del propietario del depósito para evitar tales vulnerabilidades”.
No hay forma de saber si la vulnerabilidad, que no tiene ningún número CVE asociado, fue explotada en estado salvaje, añade Kadkoda.
¿Qué es el balde en cuclillas y el balde francotirador?
La vulnerabilidad se introduce durante el proceso de arranque, explica el informe, durante el cual AWS crea un depósito provisional de S3 para almacenar una variedad de activos de implementación. Porque el nombre de estos Depósitos de AWS S3 Siga un patrón: cdk-{qualifier}-assets-{account-ID}-{Región}, el equipo descubrió que todos los adversarios deben ingresar a uno de estos compartimentos: el número de ID de la cuenta y la región, los únicos campos que cambian del depósito. al balde.
Esto no solo permite a los atacantes ingresar a un depósito S3 existente, sino que también pueden crear un depósito S3 completamente nuevo.
“Si el atacante configura el depósito con anticipación, cuando el usuario intente iniciar el CDK desde una región específica, encontrará un error durante el proceso porque el depósito de CDK que el proceso de arranque intenta crear ya existe”, dice el informe. estados. Se agregó el informe Aqua. “La documentación recomienda seleccionar un calificador distinto al predeterminado”.
Esta es una táctica que el informe llama “ocupación de nombres de depósito S3” o “francotirador de depósito” y le da al actor de amenazas la capacidad de ejecutar código malicioso en la cuenta de AWS objetivo.
“Como recordatorio, el depósito de preparación de CDK contiene plantillas de CloudFormation”, agrega el informe. “Si un atacante obtiene acceso al depósito de preparación CDK de otros usuarios, estos archivos pueden ser manipulados y secuestrados fácilmente, lo que permite la inyección de recursos maliciosos en la cuenta de la víctima durante la implementación”.
Este último informe amplía el análisis anterior de Aqua sobre el peligro de configurar depósitos S3 con nombres fáciles de adivinar en herramientas de código abierto.
“Esta investigación destaca la importancia de no utilizar nombres de depósitos predecibles y mantener en secreto el ID de la cuenta de AWS para evitar ser vulnerable a este tipo de problemas en el futuro”, aconseja Kadkoda.