Обычное упущение послужило отправной точкой для масштабных атак.
Исследователи в области кибербезопасности выявили уязвимость в Cloud Development Kit (CDK) от Amazon Web Services (AWS), которая при определённых условиях приводит к захвату аккаунта. Согласно сегодняшнему отчёту Aqua Security, проблема позволяет злоумышленникам получить административный доступ к целевой учётной записи AWS, что открывает возможность полного контроля над аккаунтом.
CDK представляет собой фреймворк с открытым исходным кодом для определения облачных ресурсов с использованием Python, TypeScript или JavaScript с их последующим развёртыванием через CloudFormation. Проблема связана с использованием предсказуемых шаблонов для именования IAM ролей и S3 бакетов.
Эксперты Aqua отметили, что из-за распространённого использования стандартного идентификатора «hnb659fds» для создания S3 бакетов в ходе процесса инициализации (bootstrapping), злоумышленники могут заранее захватывать такие бакеты. Это открывает возможность атаки типа «Bucket Sniping», при которой атакующий создаёт S3 бакет с ожидаемым именем до пользователя, блокируя его доступ к ресурсу.
Если бакет был случайно удалён, а затем создан заново с тем же именем злоумышленником, CDK может довериться этому бакету и использовать его для записи и чтения данных, что допускает внедрение вредоносных шаблонов CloudFormation. В таком случае злоумышленник получает возможность развернуть ресурсы с привилегиями администратора.
Ошибку устранили в версии CDK 2.149.0, выпущенной в июле 2024 года, после уведомления об уязвимости 27 июня. AWS отметила, что примерно 1% пользователей CDK были подвержены этой уязвимости.
Исправление гарантирует, что данные будут загружаться только в бакеты, принадлежащие учётной записи, выполнившей инициализацию. Кроме того, пользователям рекомендуется избегать использования стандартных идентификаторов и вместо этого применять уникальные идентификаторы для бакетов.
AWS также призвала обновить CDK до последней версии и повторно выполнить команду инициализации для устранения риска. В качестве дополнительной меры безопасности предлагается настроить IAM политики с ограничениями на публикацию файлов.
Ладно, не доказали. Но мы работаем над этим