Aggiornamenti recenti Maggio 21st, 2025 3:42 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- I ruoli di default di AWS consentono compromissioni e movimento laterale
- ESET APT report: crescono gli attacchi russi, cinesi e nordcoreani
- Pwn2Own, a Berlino per la prima volta la categoria IA. I risultati delle giornate
- CERT-AGID 10-16 maggio: l’Agenzia delle Entrate ancora nel mirino
- Trovati dispositivi non autorizzati negli inverter solari cinesi
I ruoli di default di AWS consentono compromissioni e movimento laterale
I ricercatori di Aqua, firma di cybersecurity statunitense, hanno scoperto che i ruoli di default di AWS possono spianare la strada agli attaccanti consentendo compromissioni di account, accessi cross-servizio ed escalation di privilegi.
I ruoli IAM incriminati vengono creati automaticamente durante il setup del servizio e permettono l’accesso completo allo storage S3. Il problema è stato individuato in diversi servizi AWS, tra cui SageMaker, Glue e EMR dove la policy AmazonS3FullAccess, insieme ad altre con permessi estesi, viene applicata ai ruoli di default. “Questi ruoli, pensati originariamente per usi ristretti e specifici al servizio, possono essere invece abusati per eseguire azioni di livello amministratori ed eludere l’isolamento tra servizi” si legge sul blog della compagnia.
Il problema di fornire accesso completo ai bucket non è infatti solo un rischio per i dati, ma consente a un utente malintenzionato di accedere ad altri servizi e comprometterli. “Molti servizi AWS si affidano a S3 per memorizzare risorse essenziali come script, file di configurazione e modelli. Ottenere l’accesso completo a S3 consente a un aggressore di manipolare il comportamento interno di servizi come CloudFormation, SageMaker, Glue, EMR, nonché di strumenti come l’AWS CDK, con un’escalation dei privilegi che va ben oltre l’ambito originario del ruolo“.
Considerano che i nomi dei bucket S3 sono altamente prevedibili, e visti i permessi di scrittura e lettura sulle risorse, un attaccante può usare i privilegi del ruolo di default per individuare i bucket usati dagli altri servizi e modificare risorse come i template di CloudFormation, gli script EMR e le risorse di SageMaker. “Se un qualsiasi ruolo di un account ha AmazonS3FullAccess (che sia attraverso una policy aggiunta o tramite permessi inline), ha effettivamente accesso in lettura/scrittura a ogni bucket S3 e, di conseguenza, la possibilità di compromette più servizi AWS“.
I rischi dei ruoli AWS di default
Nel blog i ricercatori di Aqua hanno evidenziato alcuni scenari d’attacco che sfruttano la vulnerabilità dei ruoli di default di AWS. In un caso, il team ha dimostrato che è possibile importare un modello malevolo da HuggingFace su SageMaker per eseguire codice pericoloso per l’intero ambiente, per esempio con una backdoor che sottrae le credenziali. “L’esecuzione di modelli non attendibili è intrinsecamente rischiosa, ma il pericolo è ancora maggiore perché SageMaker opera con ruoli di esecuzione predefiniti con ampie autorizzazioni, come AmazonS3FullAccess”
In un altro caso, i ricercatori hanno effettuato una escalation dei privilegi dal ruolo AWSGlueServiceRole a quello di admin. Modificando i job Glue, gli attaccanti possono estendere il proprio raggio d’azione accedendo a tutti i bucket S3 dell’account e accedere in questo modo ad altri servizi collegati.
Il rischio derivante dai ruoli di default non impatta soltanto i servizi AWS, ma anche molti progetti open-source usati dalle organizzazioni per utilizzare risorse negli ambienti AWS. Quando, per esempio, si utilizzato tool come Terraform, Ray o librerie Python, solitamente durante il processo vengono creati dei ruoli IAM di default per il progetto; anche in questo caso, i ruoli vengono creati con permessi troppo estesi, garantendo accesso completo ai bucket.
In risposta all’analisi di Aqua, AWS ha applicato alcune mitigazioni per arginare i rischi, principalmente riducendo lo scope e i permessi dei ruoli creati di default; inoltre, l’azienda ha inviato delle comunicazioni ai propri utenti per informarli dei cambiamenti e delle buone pratiche da applicare durante la creazione dei ruoli.
“AWS ha confermato che AWS CDK (Cloud Development Kit), AWS Glue, Amazon EMR (Elastic MapReduce) e Amazon SageMaker funzionano come previsto. Il problema è stato risolto modificando i criteri dei ruoli di servizio predefiniti, in particolare il criterio AmazonS3FullAccess. Amazon Lightsail ha aggiornato la documentazione per indicare agli utenti di creare bucket con un criterio di tipo scoped-down. AWS CDK ha assicurato che le risorse CDK vengano caricate solo nei bucket dell’account dell’utente“.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
I ruoli di default di AWS consentono compromissioni e... I ricercatori di Aqua, firma di cybersecurity statunitense,... -
ESET APT report: crescono gli attacchi russi, cinesi e... Ieri ESET ha pubblicato l’ultimo APT report relativo... -
Pwn2Own, a Berlino per la prima volta la categoria IA. I... Dopo tre giorni di intenso hacking si è conclusa Pwn2Own,... -
Europa sotto attacco: aumentano le attività DDoS e dei... Il numero di attacchi DDoS e delle attività dei gruppi... -
Impennata degli attacchi automatizzati: i cybercriminali... Sono sempre di più gli attacchi automatizzati che...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
I ruoli di default di AWS consentono compromissioni e... I ricercatori di Aqua, firma di cybersecurity statunitense,...
-
ESET APT report: crescono gli attacchi russi, cinesi e... Ieri ESET ha pubblicato l’ultimo APT report relativo...
-
Pwn2Own, a Berlino per la prima volta la categoria IA. I... Dopo tre giorni di intenso hacking si è conclusa...
-
CERT-AGID 10-16 maggio: l’Agenzia delle Entrate... Nel corso della settimana, il CERT-AGID ha identificato e... -
Trovati dispositivi non autorizzati negli inverter solari... Una nuova minaccia si abbatte sugli Stati Uniti: secondo...
Ransomware: la serie
No posts found.
