AWSは、攻撃者がAWS Trusted Advisorに保護されていないS3バケットをリスクとして警告しないように仕向けることができる脆弱性に対処しました。
AWS Trusted Advisorは、顧客の環境を分析し、コスト、パフォーマンス、セキュリティなどの分野で改善のための推奨事項を提供するよう設計されています。セキュリティグループの設定、IAMユーザーアクセス、多要素認証、S3バケットの権限など、いくつかのセキュリティ関連のTrusted Advisorチェックは無料で提供されています。
S3バケットの権限チェックは、バケットにオープンアクセス権限が設定されている場合や、任意の認証済みAWSユーザーへのアクセスが許可されている場合にユーザーに警告します。
Fog Securityの研究者たちは、発見しました。攻撃者がS3バケットポリシーで「s3:GetBucketAcl」、「s3:GetPublicAccessBlock」または「s3:GetBucketPolicyStatus」アクションを拒否するように設定することで、Trusted Advisorが公開バケットについてユーザーに警告しないようにできることを。
研究者たちは、Trusted AdvisorのS3セキュリティチェックを回避した後、攻撃者がバケットポリシーやACLを使って公開かつ匿名アクセス権限を持つバケットを設定し、アラートを発生させることなくデータを流出させることができることを示しました。
なお、攻撃者がこれらの行為を行うには、まずターゲットのAWS環境へのアクセスを獲得する必要があります。
Fog Securityは5月初旬にこの発見をAWSに報告し、6月下旬に包括的な修正が展開されました。5月下旬には不完全なパッチが適用されていました。
AWSは顧客にこの問題について通知し、S3バケットの権限やS3ストレージへの公開アクセスのブロックに関するドキュメントページを案内しています。
広告。スクロールして続きをお読みください。
「セキュリティのベストプラクティスとして、顧客にはS3バケットの権限を見直し、自社のセキュリティ要件に合致していることを確認することを推奨します」とAWSの広報担当者はSecurityWeekに語りました。「S3バケットポリシーがTrusted Advisorによる特定のアクションを妨げている場合、Trusted Advisorのチェックで『警告』ステータスが表示されるはずです。以前は、これらのバケットが誤って無視されたものとしてリストされ、公開アクセス設定に関する誤ったステータスインジケーターが表示される可能性がありました。」