Annons

Risk för informationsläckage i AWS

Analytiker vid IT-säkerhetsföretaget Palo Alto Networks har upptäckt att en rad olika programmeringsgränssnitt för webbtjänster i Amazon Web Services (AWS) kan användas för att komma över information om företag och verksamheter. Informationen kan därefter användas av cyberbrottslingar för riktade attacker.

Hittills har analytikerna upptäckt 22 API:er kopplade till 16 olika tjänster som alla är sårbara för samma metod. En angripare kan använda den information som returneras i felkoden när ett API anropas från en icke-existerande användare till att kartlägga vilka roller och användare som finns i en organisation.

Grunden till sårbarheten är att AWS proaktivt validerar alla resursbaserade policys kopplade till tjänster som till exempel Amazon Simple Storage Service (S3). Identiteten på de som kan använda tjänsten specificeras vanligen i ett specifikt fält. Om en begäran kommer från en resurs där användaren är okänd och nekas access kommer ett svar med felmeddelandet att lämnas tillbaka. Det svaret kan innehålla användbar information för en angripare.

Eftersom denna typ av felmeddelande inte loggas på något annat ställe än hos den som gör anropet är attackerna svåra att upptäcka och skydda sig emot. En angripare får därigenom gott om tid på sig att leta runt oupptäckt och kartlägga en verksamhet. Angriparen kan över tid skaffa sig kunskap om vilka användare som existerar, deras behörighetsnivåer och hur organisationen är uppbyggd. Denna information kan sedan användas, till exempel för riktade angrepp mot enskilda individer.

Även om denna typ av attack är svår att skydda sig mot så finns det saker att göra för att minska sin exponering. Det Palo Alto Networks rekommenderar är att:

– Logga och övervaka alla försök till inloggning av användare
– Använd tvåfaktorsinloggning.
– Ta bort inaktiva användare och roller så fort som möjligt för att minska attackytan.
– Namnge användare och roller på ett sådant sätt att de blir svåra att gissa.
– Undvik att skapa nya användare i AWS, till exempel genom att istället använda en extern identitetsleverantör.

Comments are closed.