Orca协助AWS修复Superglue和BreakingF

2022-01-14 17:04

近日，亚马逊云服务被曝正在修补所谓的“强力胶”（Superglue）漏洞。此外还有一个被称作 AWS CloudFormation 的 Bug，攻击者可利用它们摸到其他用户的敏感数据。Orca 安全研究团队率先披露了 AWS 工具中的缺陷，庆幸的是两个 Bug 都已得到完全修补。
首先聊聊 Superglue 漏洞，用户可借此访问其他 AWS Glue 用户管理的信息。
AWS 官方宣称 Glue 是一项无服务器的数据集成服务，旨在轻松发现、准备和组合那些用于分析、机器学习和应用程序开发的数据。
事实上，亚马逊服务的体量着实庞大，以至于 Glue 用户能够免费存储多达百万个对象。
Orca 指出 —— 我们能够识别 AWS Glue 中的一项功能，它可用于获取 AWS 官方服务账户中的某个角色的凭证，从而赋予了对内部服务 API 的完全访问权限。
结合内部错误配置和 Glue 内部访问 API，我们得以将帐户内的权限进一步提升至不受限的水平，包括以完全的管理权限访问某个区域的所有资源。

在受 Glue 服务信任的 AWS 客户账户中，至少都有一个类似角色的账户。
得逞后，攻击者能够查询和修改区域内的相关资源，包括但不限于 Glue 作业、开发端点、工作流、爬虫、触发器等元数据。
Orca 证实 —— 其已确认通过该漏洞控制众多账户、以访问其他 AWS Glue 用户管理的信息的能力。
庆幸的是，漏洞披露不久后，亚马逊在数小时内就做出了回应，并于第二日实施了部分缓解，直到数日后彻底封堵了相关问题。

第二个漏洞影响到了 AWS CloudFormation，通过将基础设施视作代码，用户可对第一和第三方资源开展建模、预置和管理。
这种“基础设施即代码”的范式，已于近年来愈加受到客户的青睐。在迁移至云端的时候，其配置与维护的便利性也相当出众。
然而被称作BreakingFormation的第二个 Bug，却可被用于泄露在易受攻击的服务器上发现的机密文件。
此外服务器端请求（SSRF）易受未经授权披露内部 AWS 基础设施服务凭证的影响 —— 庆幸的是，该漏洞在向 AWS 披露六天内完成了彻底修复。

最后，

余下全部

共有评论0条

<返回

<返回首页