AWS Cloud Development Kit Account-Übernahme in AWS möglich

Anbieter zum Thema

FTAPI Software GmbH

Mithilfe einer Sicherheitslücke im AWS Cloud Development Kit können Angreifer, AWS-Accounts kompromittieren, wenn Nutzer zuvor erstellte S3-Buckets löschen. Die Fehlkonfiguration im CDK erlaubt einen vorhersehbaren Bucket-Namen, wodurch sich Risiken für Nutzer ergeben, die Standard-Konfigurationen verwenden.

Sicherheitsexperten von Aquasec haben eine schwerwiegende Sicherheitslücke im AWS Cloud Development Kit (CDK) entdeckt. Die Lücke ermöglicht eine vollständige Übernahme von AWS-Accounts. Die Schwachstelle betrifft das offene CDK-Projekt und basiert auf der Erstellung von S3-Buckets während des Bootstrapping-Prozesses. Der Prozess generiert automatisch Infrastrukturkomponenten wie IAM-Rollen und S3-Buckets, die für die Funktionsfähigkeit des CDK essenziell sind.

Nicht weniger, sondern mehr Cloud Security ist notwendig

Wenige Angriffe auf die Cloud: Wird mit der Cloud-Sicherheit übertrieben?

Details zur Schwachstelle im AWS CDK

Die Lücke tritt vor allem dann auf, wenn Benutzer nach dem initialen Bootstrapping den erstellten S3-Bucket löschen. Aufgrund der festen Namensstruktur des Buckets – standardmäßig lautet diese cdk-hnb659fds-assets-{Account-ID}-{Region} – kann ein Angreifer den Namen des Buckets erraten und sich diesen sichern. Kennt ein Angreifer die Account-ID des Ziels und die Region, kann er mit diesen Informationen in Kombination mit der standardmäßigen Qualifier-Konfiguration den Bucket übernehmen.

In diesem Fall stößt das Opfer bei der nächsten CDK-Bereitstellung auf eine Fehlermeldung, da der notwendige Bucket bereits existiert, sich jetzt aber unter der Kontrolle des Angreifers befindet. Diese Kontrolle eröffnet Möglichkeiten für einen Denial-of-Service-Angriff (DoS) oder in schwerwiegenden Fällen eine Account-Übernahme.

Die Experten bei Aquasec entwickelten ein automatisiertes Scan-Tool, das über 38.000 Accounts auf CDK-Installation und die Existenz des CDK-Buckets überprüfte. Die Analyse ergab, dass etwa ein Prozent der CDK-Nutzer anfällig für diese Art von Angriff ist. AWS bestätigte später diese Zahl und leitete Schritte zur Schadensbegrenzung ein.

Eine weitere Analyse ergab, dass in etwa zehn Prozent der überprüften Accounts der zuvor angelegte CDK-Bucket gelöscht wurde, wodurch Angreifer die S3-Buckets übernehmen und kontrollieren können. Diese Bucket-Kontrolle erlaubt es dem Angreifer, mit einem speziell konfigurierten Lambda-Skript Dateien im CDK-Bucket zu manipulieren. Dies kann zur Folge haben, dass CloudFormation-Vorlagen mit schädlichem Inhalt in den Zielaccount hochgeladen und dort ausgeführt werden. Da die Berechtigungen im CDK-Bootstrap-Prozess standardmäßig sehr weitreichend sind, kann der Angreifer auf diese Weise beispielsweise eine IAM-Admin-Rolle erstellen und diese zur Übernahme des Accounts verwenden.

Horizons of Identity Security

41 Prozent der Unternehmen ohne ausreichenden Identitätsschutz

CDK erhält Update

AWS reagierte auf diese Entdeckung mit einem Update des CDK in Version 2.149.0, das sicherstellt, dass die notwendigen S3-Buckets ausschließlich innerhalb des Accounts des Benutzers liegen. Diese Sicherheitsmaßnahme gilt jedoch nur für Accounts, die nach dem Update neu gebootstrapped werden. Nutzer, die weiterhin mit älteren CDK-Versionen wie 2.148.1 arbeiten, müssen manuell eingreifen und entweder ein Update durchführen oder gezielt eine IAM-Rollenanpassung vornehmen, um Zugriffe auf nicht-vertrauenswürdige Buckets zu verhindern.

„Securing the Cloud“-Report von Suse

Generative KI wird zur Bedrohung für die Cloud-Sicherheit

Weitere Risiken vorhanden

Ein weiteres Risiko dieser Schwachstelle ist die Verfügbarkeit der AWS-Account-ID, die oft in öffentlich zugänglichen Code-Repositories auftaucht. Durch die Kenntnis dieser ID kann ein Angreifer in Kombination mit der Region und dem vorhersehbaren S3-Bucket-Namen den Angriff effektiv durchführen. Sicherheitsexperten empfehlen daher, AWS-Account-IDs als vertrauliche Informationen zu behandeln und in öffentlichen Repositories zu anonymisieren.

Zur Prävention zukünftiger Sicherheitsvorfälle betonen die Sicherheitsforscher die Bedeutung individueller Konfigurationen im CDK-Bootstrapping-Prozess. AWS empfiehlt die Nutzung eines eindeutigen Qualifiers statt des voreingestellten Wertes, um den vorhersehbaren Bucket-Namen zu vermeiden und somit Bucket-Naming-Angriffe zu verhindern.

The State of SaaS Security 2024 Report

Studie zur Sicherheit von SaaS zeigt Schwachstellen auf

(ID:50218199)