Bucket hijacking
A Unit 42 kutatása egy olyan, több felhőszolgáltatót érintő támadási módszert mutat be, amely a globálisan egyedi bucketek kezeléséből eredő kockázatokat használja ki. A bucket hijacking során a támadó megszerzi vagy előre lefoglalja egy már nem létező, de alkalmazásokban, konfigurációkban vagy automatizált folyamatokban továbbra is hivatkozott bucket nevét. Mivel számos alkalmazás nem ellenőrzi a bucket tulajdonjogát vagy érvényességét, az adatforgalom és a feltöltött állományok a támadó által létrehozott tárolóba kerülhetnek. Ez adatlopáshoz, bizalmas információk kiszivárgásához, illetve szoftverellátási lánc támadásokhoz vezethet, ha például alkalmazások, naplófájlok vagy frissítések egy kompromittált bucketből töltődnek be.
A kutatók szerint a probléma valamennyi jelentősebb felhőszolgáltatónál megjelenhet, mivel a globális névtér működési sajátosságaiból fakad. A kockázat különösen akkor jelentős, amikor infrastruktúrát bontanak le, alkalmazásokat migrálnak vagy megszüntetnek, de a konfigurációkban, DNS-rekordokban, CI/CD folyamatokban vagy SDK-kban megmaradnak a régi bucket hivatkozásai.
A védekezés alapja a megszüntetett bucketnevek nyomon követése, a függő hivatkozások rendszeres felderítése, a tulajdonjog ellenőrzése letöltés előtt, valamint a digitális aláírások és integritás-ellenőrzések alkalmazása. A felhőbiztonságban nem elegendő kizárólag a hozzáférések védelme, a már nem használt erőforrások és az automatizált integrációk folyamatos felülvizsgálata is elengedhetetlen a hasonló kompromittálások megelőzéséhez.
