Una ricercatrice della società di sicurezza Lightspin ha recentemente ottenuto le credenziali per un servizio AWS interno utilizzando un’estensione PostgreSQL e sfruttando una vulnerabilità di lettura dei file di sistema su RDS. AWS ha confermato il problema e ha deprecato numerose minor version di Amazon Aurora e RDS per PostgreSQL.
Secondo Amazon, gli utenti di database con autorizzazioni sufficienti avrebbero potuto utilizzare queste credenziali per ottenere un accesso elevato alle risorse associate al cluster di database da cui sono state estratte le credenziali. Le stesse credenziali non potevano invece essere utilizzate per accedere ai servizi RDS interni o ad altri database o account AWS.
Gafnit Amiga, director of security research a Lightspin, spiega come ha ottenuto le credenziali per un servizio AWS chiamato Grover utilizzando un’estensione PostgreSQL :
L’estensione log_fdw consente all’utente di accedere ai log del database utilizzando un’interfaccia SQL (…) Ho passato un po’ di tempo ad esaminare i file di sistema finché non ho trovato una proprietà interessante nel file di configurazione di PostgreSQL (…) Il file apg_storage_conf_file punta a un altro file di configurazione chiamato grover_volume.conf (…) che a sua volta mi ha portato ad un altro file, csd-grover-credentials.json.
Questo file ha consentito ad Amiga di recuperare le credenziali temporanee IAM, tra cui una publicKey e una privateKey che ha potuto testare, confermando essere collegate a un ruolo interno chiamato csd-grover-role. Amiga conclude:
Passando da tre diversi file ho potuto scoprire un servizio AWS interno e accedervi. Qui è dove la mia analisi e ricerca si sono concluse. Non ho tentato di sfruttare autorizzazioni IAM o accedere ad altri database nell’ambiente interno di AWS.
Secondo la società di sicurezza Lightspin, la vulnerabilità è stata segnalata ad AWS il 9 dicembre, più di quattro mesi fa, quando il team RDS ha iniziato a lavorare ad una fix. AWS ha installato una prima patch sulle ultime versioni di Aurora e RDS il 14 dicembre, escludendo le versioni precedenti, e ha iniziato a contattare i clienti potenzialmente impattati. In un security bulletin pubblicato il 13 aprile, AWS dichiara:
AWS ha immediatamente preso le misure necessarie per risolvere questo problema non appena è stato segnalato. Come parte della nostra mitigazione, abbiamo aggiornato Amazon Aurora PostgreSQL e Amazon RDS for PostgreSQL per prevenire questo problema. Abbiamo anche reso obsolete le versioni secondarie di Amazon Aurora PostgreSQL e di Amazon RDS for PostgreSQL elencate (…). I clienti non possono più creare nuove istanze con queste versioni In quanto obsolete.
Il security bullettin di AWS inizialmente non menzionava Lightspin e la mancanza di attribuzione della scoperta della vulnerabilità aveva sollevato ulteriori dubbi tra gli sviluppatori. L’annuncio non chiarisce cosa sia il servizio interno Grover e come funzioni. Amiga conferma: “Quanto a Grover, AWS non è in grado di rivelare dettagli sul servizio interno”.
Vuoi leggere altre news su AWS?