Gartner прогнозує, що витрати на кінцеві споживачі в усьому світі на державні хмарні послуги перевищують 720 млрд. Дол. Однією з частот, але серйозної загрози в цих середовищах є перехресна служба заплутана заступник нападу, яка може розкрити критичні послуги за допомогою ненавмисних довірчих відносин між хмарними компонентами.
Нижче ми вивчимо, як ця атака може проявлятися в сервісах AWS, таких як AWS Elastic Balanting навантаження (ELB) конфігурації реєстрації, проаналізувати основну вразливість, відобразити її на відповідні тактики MITER ATT & CK, а також окреслити всебічні стратегії пом'якшення та запобігання.
Розуміння перехресної служби розгубленого заступника нападу
У хмарних середовищах служби часто взаємодіють у різних обліках та межах. Неправильні конфігурації або надмірно дозвільна політика довіри можуть піддавати системи несанкціонованим доступом або непередбачуваним потоком даних.
Перехресна служба заплутана заступник нападу виникає, коли надійна служба (“заступник”) обдурюється у виконанні дій від імені ненадійного принципу, часто через неправильно налаштовані або недостатньо витрачені дозволи. Цей клас вразливості особливо підступний, оскільки шкідливі дії виконуються надійною службою AWS, обходячи базовий контроль доступу.
Одним із прикладів розгубленого заступника атаки є CloudTrail, послуга AWS, яка фіксує всю діяльність у середовищі AWS організації. Ці журнали важливі для регуляторних аудитів та оцінок безпеки; Однак цей інструмент також може бути використаний зловмисниками, якщо дозволи не керуються ретельно.
Функція журналу CloudTrail може бути використана для запису журналів у відро S3 жертви, якщо в екземплярі не вистачає клавіш умов, що стосуються облікових записів. Оскільки сама служба уповноважена, AWS припускає, що дія є законною, навіть якщо зловмисний актор ініціював її.
Ключові моменти, які слід врахувати:
- Атака зловживає законними інтеграціями AWS.
- Він часто обходить традиційні межі дозволу.
- Це може бути важко виявити, оскільки журнали та дії пояснюються надійними послугами.
Розуміння цього типу атаки є життєво важливим для побудови захищених хмарних архітектур, які передбачають межі довіри, можуть бути розмиті, якщо не явно виконані.
Поглиблений приклад: AWS ELB та реєстрація до S3
Ще одне поширене (і часто не помічене) місце, яке виникає ця атака, – це еластичне балансування навантаження (ELB). Так само, як CloudTrail, AWS ELB можна налаштувати для зберігання журналів доступу в відрах Amazon S3 для аудиту та моніторингу. Ця функція особливо корисна при агрегуванні журналів з декількох служб або облікових записів у централізований рахунок аудиту. Щоб увімкнути журнал ELB, необхідно додати конкретну політику відра, яка дозволяє послузі ELB писати у відро. Цей процес, як правило, використовує або директор з обслуговування (наприклад, logDelivery.ElasticLoadBalancing.amazonaws.com), або ідентифікатор облікового запису AWS, що стосується регіону.
Приклад політики відра (директор з обслуговування):
Щоб зрозуміти, де лежить ризик, корисно подивитися, як зазвичай налаштовані дозволи ELB. Ось загальна політика відра, яка дозволяє службі ELB записувати журнали у відро S3:
Аналіз атаки та спостереження
Хоча, здавалося б, прямолінійна, конфігурація вище може ввести a Плутанина заступника. Вад полягає в надмірно дозвільній політиці відра, яка не обмежує прохання походити з певного облікового запису AWS. Як результат, будь -який обліковий запис AWS може налаштувати ELB для запису журналів у відро, яким вони не володіють, якщо вони знають ім'я відра та структуру шляху.
Це дає можливість зловмисним акторам зловживати AWS ELB доставляти журнали (і, таким чином, записати дані) у відро жертви S3, підручник Перехресна служба заплутана заступник нападу.
Потенційний шлях атаки
Крок 1: Потерпілий створює відро S3 для реєстрації ELB з загальною політикою відра, що дозволяє logdelivery.elasticloadbalancing.amazonaws.com.
Крок 2: Зловмисник, який використовує інший обліковий запис AWS, налаштовує їх ELB для запису журналів у відро жертви.
Крок 3: Служба AWS ELB виступає заступником і записує журнали у відро жертви під AWSLOGS/
Крок 4: Дані, написані зловмисником, можуть включати оманливий або шкідливий вміст, забруднення журналів або витрачати на зберігання.
MITER ATT & CK Рамки Рамки
Щоб допомогти командам класифікувати та відповісти на розгублену заступник нападу на перехресну службу, ми відобразили їх у відповідну інформацію в рамках Miter Att & CK. Ці відображення забезпечують додатковий контекст та підтримку для виявлення та оборонних зусиль:
T1530 – Дані з хмарного об'єкта зберігання
Незважаючи на те, що ця атака пише лише від відро для S3 жертви, якщо це не налаштовано, він може врешті-решт дозволити зворотній або маніпулювання журналами, а це означає, що зловмисники можуть приховати свою діяльність, оманливе криміналістичне розслідування або чутливі дані про ефільтрат.
T1190-Використовуйте заявку на публічну
Якщо зловмисник визначає недолік механізму лісозаготівлі ELB, він може поєднуватися з загальнодоступними кінцевими точками, щоб викликати несподівану поведінку.
T1560.001 – Архів зібраних даних: Архів за допомогою корисності
Незважаючи на те, що не є прямим відповідністю, якщо журнали з декількох облікових записів агреговані, зловмисник може використовувати це для екзфільтрата або приховування даних у відра жертви.
T1659 – Введення вмісту
Зловмисники можуть використовувати механізм реєстрації ELB для вставки несанкціонованих або оманливих даних журналу у відро S3 жертви.
Вплив потенційної атаки
Незважаючи на те, що вплив розгубленого заступника нападу перехресного обслуговування може здатися обмеженим, це може мати далекосяжні наслідки. Ця тонка маніпуляція може підірвати функції безпеки бізнесу, збільшити експлуатаційні витрати та перешкоджати можливості відповідати вимогам щодо відповідності.
Потенційні негативні результати включають:
- Оманливий журнал: Зміна цілісності журналу може перешкоджати судово -медичному аналізу.
- Зберігання здуття: Зберігання S3 жертви може понести несподівані витрати через несанкціоновані або надмірні дані журналу.
- Ризики відповідності: Неокументовані записи журналу з неперевірених джерел можуть призвести до порушень регуляторних або внутрішніх стандартів дотримання.
- Заперечення аудиту: Втрата вірності журналу може порушити аудит та реагування на інциденти.
Стратегії захисту від перехресних служб розгублених заступників нападів
На щастя, ефективні захисні сили проти переплутаних заступників нападів можуть бути досягнуті за допомогою багатошарової стратегії безпеки. Впроваджуючи деталі з деталізованих дозволів користувачів, сильний захист даних та найкращі практики безпеки в цілому, розробники можуть забезпечити критичні активи.
1. Забезпечені ресурсні політики та управління ідентичністю та доступом (IAM)
Визначаючи пріоритетні практики ідентичності та управління доступом, ви можете контролювати, хто може отримати доступ та записувати журнали до вашого відра S3.
Використовуйте суворі ресурси ARN
Завжди визначайте точні довідкові номери набувачів (ARN) у вашій політиці відра, щоб звузити дозволений шлях запису. Це гарантує, що написані лише передбачувані журнали та запобігає зловживанню з інших облікових записів AWS.
Приклад: «ARN: AWS: S3 ::: My Bucket/Awslogs/111122223333/*”
Забезпечити AWS: стан SourceAccount
Додайте умову до своєї політики відра, щоб підтвердити, що запит був ініційований вашим обліковим записом, блокуючи несанкціоновані взаємодії з перехресного обліку.
Приклад: “Умова”: {“Stringequals”: {“AWS: SourceAccount”: “111122223333”}}
Застосовуйте найменший принцип привілеїв
Уникайте використання широких дозволів, таких як S3:* або підстановки, в ресурсі. Надайте лише необхідний S3: Putobject дозвіл на службу ELB.
2. Захист даних та цілісність реєстрації
Захист журналів даних та самого контейнера для зберігання додає ще один шар захисту від розгублених заступників нападів перехресного обслуговування.
Увімкнути шифрування
Використовуйте шифрування на стороні сервера Amazon, SSE-KMS, щоб шифрувати файли журналу в спокої. Також переконайтеся, що журнали надійно передаються через HTTPS.
Використовуйте замок об'єкта S3
Активуйте блокування об'єктів у режимі відповідності або управління, щоб зробити об'єкти журналу незмінним, що захищає від фальсифікації або випадкового видалення.
Моніторинг активності відра
Важіть AWS CloudTrail, CloudWatch та Amazon GuardDuty для моніторингу моделей доступу. Встановіть сповіщення про незвичайні спроби запису або невідомі директори служби.
Забезпечити захист S3 за замовчуванням
AWS надає налаштування для блокування надмірно дозвільного доступу за замовчуванням. Наступні перевірки конфігурації допомагають забезпечити захист ваших відра від загальних неправильних конфігурацій:
- CID-59 Забезпечення нової публічної політики для відра для відра встановлюється на істину.
- CID-379 Переконайтесь, що відро S3 не повинно дозволяти записувати дозвіл на журнали доступу до серверів у всіх у відрі.
- CID-60 Переконайтесь, що блокувати публічний та перехресний доступ, якщо у відра є публічна політика для відра, встановлена на істину.
- CID-61 Переконайтесь, що блок нових списків контролю доступу (ACLS) та завантаження публічних об'єктів для відра встановлюється на True.
- CID-63 Переконайтесь, що блок нової публічної політики відра для облікового запису встановлюється на True.
3. Профілактичний контроль та оперативна практика
Ретельно документуючи та тестуючи контроль за безпекою, ви можете внести свій внесок у загальну гігієну безпеки організації.
Перевірте та перевірте політику IAM
Використовуйте інструменти для управління ідентичністю та доступом, як, наприклад, аналізатор доступу AWS та симулятори політики, щоб виявити надмірно дозвільні або неправильно налаштовані політики до їх розгортання.
Документувати та автоматизувати найкращі практики
Вбудуйте безпечні шаблони конфігурації в шаблони інфраструктури як код (IAC). Оновіть внутрішню документацію та на борту матеріалів, щоб нові члени команди дотримувались цих практик з першого дня.
Аудит сторонніх інтеграцій
Перегляньте та підтверджуйте ролі IAM, надані стороннім службам, щоб забезпечити їх дотримання внутрішніх базових ліній безпеки та не вводять шляхи ескалації.
Harden S3 відра для реєстрації безпеки
Щоб забезпечити цілісність вашої інфраструктури журналу, ввімкніть наступні налаштування безпеки у ваших відрах S3:
- CID-57 Переконайтесь, що політика відра S3 встановлена для відмови в запитах HTTP
- CID-67 Переконайтесь, що всі відра S3 використовують шифрування
- CID-47 Переконайтесь, що журнал доступу увімкнено для відра S3
Деталізація та точність: захищено дизайном
Перехресні послуги заплутані заступники нападів підкреслюють важливість детального контролю IAM, точності політики та найкращої практики безпеки. Здатність журналу AWS ELB, хоча і цінна, може стати вектором для зловживання, якщо не належним чином захищено. Забезпечуючи клавіші стану, обмеження шляху та пильний моніторинг, ви можете ефективно пом'якшити ці загрози та забезпечити, щоб ваша ймовірна зростаюча хмарна інфраструктура залишалася безпечною та аудиторською.
Розуміння нюансу інтеграцій сервісу та меж довіри є ключовим у сучасних взаємопов'язаних хмарних середовищах. Як завжди, безпечний дизайн – найкраща стратегія управління пов'язаними ризиками.
Щоб дізнатися більше про запобігання розгубленому заступнику нападів на перехресну службу, поговоріть з експертом з Qualys сьогодні.
Список літератури:
Aws doc, що пояснює напад