Menu dostępności

Nowowykryta luka w AWS

Ciekawa podatność w AWS

Podatność dotykająca hostujących w Amazon Web Services (AWS) mogła umożliwić atakującym użycie AWS AppSync w celu uzyskania dostępu do zasobów na koncie organizacji.

Na problem wskazuje Datadog Security Labs, firma zajmująca się bezpieczeństwem w chmurze. Według nich osoba atakująca może wykorzystać usługę AWS AppSync do przejęcia ról zarządzania tożsamością i dostępem (IAM) na innych kontach AWS. AppSync umożliwia programistom tworzenie interfejsów API GraphQL i Pub/Sub, każdy z powiązanym źródłem danych, a także bezpośrednie wywoływanie interfejsów API AWS, tworząc integracje z usługami AWS, co wymaga zdefiniowania ról z uprawnieniami IAM.

Zidentyfikowana luka opisana została jako „problem zdezorientowanego zastępcy”, ponieważ pozwala mniej uprzywilejowanej jednostce (atakującemu) oszukać bardziej uprzywilejowaną jednostkę (AppSync), aby wykonała określone działania w jej imieniu.

Aby zapobiec takim atakom, podczas tworzenia źródła danych AWS sprawdza poprawność unikalnego identyfikatora roli o nazwie Amazon Resource Name (ARN) względem konta AWS. Jeśli nie pasują, interfejs API wyświetla błąd.

Datadog Security Labs odkryło, że: „interfejs API akceptował ładunki JSON z właściwościami, w których używano mieszanych wielkości liter” podczas sprawdzania poprawności. ARN jest przekazywany w parametrze serviceRoleArn, którego można użyć do ominięcia procesu sprawdzania poprawności, jeśli podany został w innej wielkości liter.

Zasadniczo mechanizm pozwolił firmie zajmującej się bezpieczeństwem w chmurze „dostarczyć ARN rolę na innym koncie AWS”.

„Pomijając sprawdzanie poprawności ARN, byliśmy w stanie stworzyć źródła danych AppSync powiązane z rolami na innych kontach AWS. Umożliwiłoby to atakującemu interakcję z dowolnym zasobem powiązanym z rolą, która ufa usłudze AWS AppSync na dowolnym koncie” — zauważa Datadog.

Wada bezpieczeństwa, jak wyjaśnia firma, może zostać wykorzystana do stworzenia źródeł danych API AppSync wskazujących zasoby na innych kontach AWS, zasadniczo uzyskując dostęp do danych na tych kontach.

Datadog, który opublikował kod proof-of-concept (PoC) ukierunkowany na lukę, zgłosił problem do AWS 1 września. Łatka została wprowadzona 6 września.

W ubiegłym tygodniu AWS opublikował poradnik dotyczący luki, potwierdzając, że mogła ona zostać wykorzystana do obejścia weryfikacji użycia ról między kontami AppSync i dostępu do zasobów na innych kontach klientów.

„Ten problem nie dotyczył żadnego klienta i nie jest wymagane żadne działanie klienta. Przeprowadzono analizę logów sięgającą wstecz do uruchomienia usługi i ostatecznie ustaliliśmy, że jedyna aktywność związana z tym problemem odbywała się pomiędzy kontami należącymi do badacza. Żadne inne konta klientów nie zostały naruszone” — zauważa AWS.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...
USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

Przez lata wydawało się, że bezpieczeństwo urządzeń USB jest tematem dobrze zrozumianym. Owszem, pojawiały się ataki wykorzystujące firmware, fałszywe klawiatury czy modyfikowane pendrive'y, ale więks...