Aggiornamenti recenti Giugno 20th, 2025 5:41 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Anche Viasat vittima del cyberspionaggio di Salt Typhoon
- Asana: un bug nell’integrazione AI esponeva i dati aziendali
- Deepfake per distribuire malware su macOS: la nuova minaccia nord-coreana
- Due bug LPE consentono di ottenere i privilegi di root su Linux
- Kali Linux 2025.2, la nuova versione ha anche un toolkit per l’hacking delle auto
I ruoli di default di AWS consentono compromissioni e movimento laterale
I ricercatori di Aqua, firma di cybersecurity statunitense, hanno scoperto che i ruoli di default di AWS possono spianare la strada agli attaccanti consentendo compromissioni di account, accessi cross-servizio ed escalation di privilegi.
I ruoli IAM incriminati vengono creati automaticamente durante il setup del servizio e permettono l’accesso completo allo storage S3. Il problema è stato individuato in diversi servizi AWS, tra cui SageMaker, Glue e EMR dove la policy AmazonS3FullAccess, insieme ad altre con permessi estesi, viene applicata ai ruoli di default. “Questi ruoli, pensati originariamente per usi ristretti e specifici al servizio, possono essere invece abusati per eseguire azioni di livello amministratori ed eludere l’isolamento tra servizi” si legge sul blog della compagnia.
Il problema di fornire accesso completo ai bucket non è infatti solo un rischio per i dati, ma consente a un utente malintenzionato di accedere ad altri servizi e comprometterli. “Molti servizi AWS si affidano a S3 per memorizzare risorse essenziali come script, file di configurazione e modelli. Ottenere l’accesso completo a S3 consente a un aggressore di manipolare il comportamento interno di servizi come CloudFormation, SageMaker, Glue, EMR, nonché di strumenti come l’AWS CDK, con un’escalation dei privilegi che va ben oltre l’ambito originario del ruolo“.
Considerano che i nomi dei bucket S3 sono altamente prevedibili, e visti i permessi di scrittura e lettura sulle risorse, un attaccante può usare i privilegi del ruolo di default per individuare i bucket usati dagli altri servizi e modificare risorse come i template di CloudFormation, gli script EMR e le risorse di SageMaker. “Se un qualsiasi ruolo di un account ha AmazonS3FullAccess (che sia attraverso una policy aggiunta o tramite permessi inline), ha effettivamente accesso in lettura/scrittura a ogni bucket S3 e, di conseguenza, la possibilità di compromette più servizi AWS“.
I rischi dei ruoli AWS di default
Nel blog i ricercatori di Aqua hanno evidenziato alcuni scenari d’attacco che sfruttano la vulnerabilità dei ruoli di default di AWS. In un caso, il team ha dimostrato che è possibile importare un modello malevolo da HuggingFace su SageMaker per eseguire codice pericoloso per l’intero ambiente, per esempio con una backdoor che sottrae le credenziali. “L’esecuzione di modelli non attendibili è intrinsecamente rischiosa, ma il pericolo è ancora maggiore perché SageMaker opera con ruoli di esecuzione predefiniti con ampie autorizzazioni, come AmazonS3FullAccess”
In un altro caso, i ricercatori hanno effettuato una escalation dei privilegi dal ruolo AWSGlueServiceRole a quello di admin. Modificando i job Glue, gli attaccanti possono estendere il proprio raggio d’azione accedendo a tutti i bucket S3 dell’account e accedere in questo modo ad altri servizi collegati.
Il rischio derivante dai ruoli di default non impatta soltanto i servizi AWS, ma anche molti progetti open-source usati dalle organizzazioni per utilizzare risorse negli ambienti AWS. Quando, per esempio, si utilizzato tool come Terraform, Ray o librerie Python, solitamente durante il processo vengono creati dei ruoli IAM di default per il progetto; anche in questo caso, i ruoli vengono creati con permessi troppo estesi, garantendo accesso completo ai bucket.
In risposta all’analisi di Aqua, AWS ha applicato alcune mitigazioni per arginare i rischi, principalmente riducendo lo scope e i permessi dei ruoli creati di default; inoltre, l’azienda ha inviato delle comunicazioni ai propri utenti per informarli dei cambiamenti e delle buone pratiche da applicare durante la creazione dei ruoli.
“AWS ha confermato che AWS CDK (Cloud Development Kit), AWS Glue, Amazon EMR (Elastic MapReduce) e Amazon SageMaker funzionano come previsto. Il problema è stato risolto modificando i criteri dei ruoli di servizio predefiniti, in particolare il criterio AmazonS3FullAccess. Amazon Lightsail ha aggiornato la documentazione per indicare agli utenti di creare bucket con un criterio di tipo scoped-down. AWS CDK ha assicurato che le risorse CDK vengano caricate solo nei bucket dell’account dell’utente“.
Condividi l'articolo
Spionaggio russo: scoperta una campagna attiva dal 2022
ESET APT report: crescono gli attacchi russi, cinesi e nordcoreani
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Anche Viasat vittima del cyberspionaggio di Salt Typhoon Anche Viasat, colosso delle telecomunicazioni americano, è... -
Asana: un bug nell’integrazione AI esponeva i dati... Abbiamo appena parlato della prima vulnerabilità mai... -
Deepfake per distribuire malware su macOS: la nuova... Secondo una recente analisi di Huntress, BlueNoroff, un... -
Due bug LPE consentono di ottenere i privilegi di root su... I ricercatori di Qualys Threat Research Unit hanno... -
Kali Linux 2025.2, la nuova versione ha anche un toolkit... Lo scorso 13 giugno è stata rilasciata Kali Linux...
Ransomware: la serie
No posts found.