Orca協(xié)助AWS修復Superglue和BreakingFormation數(shù)據(jù)泄露漏洞

近日，亞馬遜云服務被曝正在修補所謂的“強力膠”（Superglue）漏洞。此外還有一個被稱作AWS CloudFormation的Bug，攻擊者可利用它們摸到其他用戶的敏感數(shù)據(jù)。Orca安全研究團隊率先披露了AWS工具中的缺陷，慶幸的是兩個Bug都已得到完全修補。

（來自：Orca Security）

首先聊聊Superglue漏洞，用戶可借此訪問其他AWS Glue用戶管理的信息。

AWS官方宣稱Glue是一項無服務器的數(shù)據(jù)集成服務，旨在輕松發(fā)現(xiàn)、準備和組合那些用于分析、機器學習和應用程序開發(fā)的數(shù)據(jù)。

事實上，亞馬遜服務的體量著實龐大，以至于Glue用戶能夠免費存儲多達百萬個對象。

Orca指出——我們能夠識別AWS Glue中的一項功能，它可用于獲取AWS官方服務賬戶中的某個角色的憑證，從而賦予了對內(nèi)部服務API的完全訪問權(quán)限。

結(jié)合內(nèi)部錯誤配置和Glue內(nèi)部訪問API，我們得以將帳戶內(nèi)的權(quán)限進一步提升至不受限的水平，包括以完全的管理權(quán)限訪問某個區(qū)域的所有資源。

在受Glue服務信任的AWS客戶賬戶中，至少都有一個類似角色的賬戶。

得逞后，攻擊者能夠查詢和修改區(qū)域內(nèi)的相關資源，包括但不限于Glue作業(yè)、開發(fā)端點、工作流、爬蟲、觸發(fā)器等元數(shù)據(jù)。

Orca證實——其已確認通過該漏洞控制眾多賬戶、以訪問其他AWS Glue用戶管理的信息的能力。

慶幸的是，漏洞披露不久后，亞馬遜在數(shù)小時內(nèi)就做出了回應，并于第二日實施了部分緩解，直到數(shù)日后徹底封堵了相關問題。

第二個漏洞影響到了AWS CloudFormation，通過將基礎設施視作代碼，用戶可對第一和第三方資源開展建模、預置和管理。

這種“基礎設施即代碼”的范式，已于近年來愈加受到客戶的青睞。在遷移至云端的時候，其配置與維護的便利性也相當出眾。

然而被稱作BreakingFormation的第二個Bug，卻可被用于泄露在易受攻擊的服務器上發(fā)現(xiàn)的機密文件。

此外服務器端請求（SSRF）易受未經(jīng)授權(quán)披露內(nèi)部AWS基礎設施服務憑證的影響——慶幸的是，該漏洞在向AWS披露六天內(nèi)完成了徹底修復。

最后，Bleeping Computer分享了AWS副總裁Colm MacCárthaigh在Twitter上披露的與BreakingFormation漏洞有關的更多細節(jié)，且一開始就承認了Orca能夠獲得對所有AWS賬戶資源的訪問權(quán)限的說法。

然后Orca首席技術官Yoav Alon回應稱CloudFormation的暴露范圍，并不像最初預期的那樣廣泛。

我們立即向AWS通報了該問題，后者迅速采取了行動來解決這個問題。

AWS安全團隊在不到25小時內(nèi)編寫了首個修復程序，并于6日內(nèi)落實到了所有AWS區(qū)域。

Orca安全研究人員幫助測試了修復補丁，以確保妥善解決相關問題，且我們能夠驗證其不會再遭到利用。