Kritikus sérülékenységek 6 AWS szolgáltatásban
Az Amazon Web Services (AWS) hat szolgáltatásában található kritikus sérülékenység lehetővé tehette volna a fiókok átvételét, távoli kódfuttatást, mesterséges intelligencia alapú adatmanipulációt, érzékeny információk felfedését és még sok mást – közölték az Aqua Security kutatói 2024. augsuztus 7-én a Black Hat USA-n. Az Aqua Security Nautilus kutatócsoportjának felfedezéseit az Aqua Security “Breaching AWS Accounts Through Shadow Resources” című szekciójában mutatták be szerda délelőtt az idén Las Vegasban megrendezett kiberbiztonsági konferencián. A kutatást Yakir Kadkoda vezető biztonsági kutató és Ofek Itach, az Aqua Security vezető biztonsági kutatója, valamint Michael Katchinskiy, az Aqua Security korábbi kutatója mutatta be. A “Shadow Resources” támadási vektor, amelyet az AWS azóta már kezelt, az S3 bucket-ek automatikus generálásából eredt, amelyet különböző AWS-szolgáltatások, köztük a CloudFormation, a Glue, az EMR, a SageMaker, a ServiceCatalog és a CodeStar generáltak. A felhasználók nem biztos, hogy tudatában vannak annak, hogy ezek a bucket-ek létrejönnek, amikor új projektet vagy fájlfeltöltést indítanak, és a bucket-ek nevei kiszámítható elnevezési sémát követnek, amelyet egy támadó kihasználhat.
