Pesquisadores de segurança identificaram uma vulnerabilidade crítica no Cloud Development Kit (CDK) da Amazon Web Services (AWS), que pode permitir o sequestro de contas em cenários específicos.
A falha, divulgada pela Aqua Security, poderia dar a um invasor acesso administrativo completo a uma conta AWS, dependendo das configurações afetadas. O problema foi corrigido na versão 2.149.0 do CDK, lançada em julho de 2024, após uma divulgação responsável no final de junho.
O AWS CDK é uma ferramenta de desenvolvimento de código aberto que facilita a definição e provisionamento de recursos na nuvem, utilizando linguagens como Python, TypeScript e JavaScript, com suporte do AWS CloudFormation.
A vulnerabilidade está relacionada ao processo de bootstrapping do AWS CDK, que prepara o ambiente da AWS com recursos essenciais como buckets do Amazon S3, repositórios do Amazon Elastic Container Registry (ECR) e permissões do AWS Identity and Access Management (IAM).
O problema surge da nomenclatura previsível dos recursos criados durante o bootstrapping. Especificamente, os buckets S3 e funções IAM seguem padrões de nomes que podem ser antecipados, especialmente quando os usuários utilizam os valores padrão fornecidos pela ferramenta, como o qualificador "hnb659fds". Isso pode resultar em um ataque conhecido como S3 Bucket Namesquatting, no qual um invasor reivindica o controle do bucket S3 de outro usuário.
Em casos mais graves, se o CDK da vítima tiver permissões para ler ou gravar dados no bucket controlado pelo invasor, isso pode permitir a manipulação dos modelos do CloudFormation, resultando na execução de ações maliciosas dentro da conta AWS.
Em um cenário hipotético, se um usuário excluísse seu bucket S3 após o processo de bootstrapping e, posteriormente, reutilizasse o CDK, um atacante poderia criar um bucket com o mesmo nome e explorar essa falha para comprometer a conta. O invasor poderia injetar funções de administrador maliciosas ou backdoors, manipulando os modelos do CloudFormation carregados pela vítima.
A Aqua destacou que milhares de instâncias no GitHub utilizam o qualificador padrão, facilitando a descoberta de buckets vulneráveis. Isso expõe um número significativo de contas AWS ao risco de ataques de negação de serviço (DoS) ou, pior, ao controle total da conta por invasores que exploram o bucket comprometido.
A AWS implementou uma correção na qual os ativos são carregados apenas em buckets da própria conta do usuário, bloqueando o envio de dados para buckets externos. A AWS também recomenda o uso de um qualificador personalizado durante o processo de bootstrapping para mitigar esse tipo de ataque.
Usuários que configuraram o CDK com versões anteriores à 2.148.1 devem atualizar para a versão mais recente e repetir o processo de bootstrapping. Outra opção é aplicar uma política de IAM específica para limitar o acesso da função CDK FilePublishingRole.
As recomendações incluem manter os IDs de conta AWS em sigilo, aplicar políticas restritivas de IAM e evitar nomes de bucket previsíveis. Em vez disso, a Aqua sugere a geração de identificadores aleatórios ou hashes exclusivos para os nomes dos buckets.
A divulgação da falha ocorre em um momento em que a Symantec, subsidiária da Broadcom, encontrou diversas aplicações para Android e iOS que expunham credenciais de serviços em nuvem, como o AWS S3 e o Microsoft Azure Blob Storage, colocando dados de usuários em risco.
Entre os aplicativos vulneráveis estão Pic Stitch: Collage Maker, Crumbl, Videoshop - Video Editor, e ReSound Tinnitus Relief. Segundo os pesquisadores Yuanjing Guo e Tommy Dong, a falta de criptografia dessas credenciais permite que invasores acessem e utilizem esses dados para fins maliciosos.
Via - THN
Comments