Επίθεση Bucket Hijacking: Χάκερ αναδρομολογούν ροές Cloud

Μια πρωτοφανής τεχνική επίθεσης στον τομέα της αποθήκευσης cloud, γνωστή ως “υπαγωγή κάδου”, έχει αποκαλυφθεί πρόσφατα. Αυτή η μέθοδος επιτρέπει στους επιθέτες να ανακατευθύνουν κρυφά τις ενεργές ροές δεδομένων ενός οργανισμού προς εξωτερικούς κάδους αποθήκευσης που ελέγχονται από τους εισβολείς, συμπεριλαμβανομένων κρίσιμων πληροφοριών όπως οι καταγραφές ελέγχου και η τηλεμετρία. Ο κίνδυνος που προκύπτει από αυτή την τεχνική είναι αυξανόμενος, καθώς επηρεάζει μεγάλες πλατφόρμες cloud όπως το Google Cloud, οι Υπηρεσίες Ιστού της Amazon (AWS) και το Microsoft Azure.

Προς το παρόν, δεν έχουν παρουσιαστεί ενδείξεις ότι αυτή η επίθεση έχει χρησιμοποιηθεί σε πραγματικές συνθήκες. Ωστόσο, οι ερευνητές προειδοποιούν ότι η ανίχνευσή της θα μπορούσε να είναι εξαιρετικά δύσκολη, εφόσον λεπτομέρειες της εκμετάλλευσης παραμείνουν αόρατες για τις συνηθισμένες διαδικασίες παρακολούθησης των οργανισμών.

Η υπαγωγή κάδου εκμεταλλεύεται ένα θεμελιώδες σχεδιαστικό ελάττωμα που προκύπτει από την παγκόσμια μοναδικότητα των ονομασιών των κάδων. Αφού οι κάδοι δεν μπορούν να έχουν δύο ταυτόσημα ονόματα, η ταυτότητα ενός κάδου συσχετίζεται μόνο με το όνομά του και όχι με τον κάτοχο του λογαριασμού. Αυτό οδηγεί σε κενά ασφαλείας που οι επιτιθέμενοι μπορούν να εκμεταλλευτούν.

Ειδικότερα, εάν κάποιος εισβολέας αποκτήσει δικαιώματα διαγραφής στον κάδο ενός οργανισμού, μπορεί να εκτελέσει την επίθεση ακολουθώντας μια απλή διαδικασία:

1. Διαγραφή του ενεργού κάδου του στόχου.
2. Άμεση δημιουργία νέου κάδου με το ίδιο όνομα σε λογαριασμό που ελέγχεται από τους εισβολείς.
3. Η αρχική ροή δεδομένων παραμένει ενεργή και αρχίζει να καταγράφει δεδομένα στον κάδο του επιτιθέμενου.

Ο κίνδυνος αυτής της τεχνικής έγκειται στο γεγονός ότι είναι αυτοδιαχειριζόμενη. Αφού ολοκληρωθεί η υπαγωγή, η νόμιμη διαμόρφωση όχι μόνο παραμένει έγκυρη, αλλά και δεν εμφανίζει σφάλματα για τις συνήθεις επιθεωρήσεις, γεγονός που καθιστά δύσκολη την ανίχνευση της απάτης.

Νέα τεχνική υπαγωγής κάδου

Η μονάδα 42 έχει επιβεβαιώσει την επιτυχία της υπαγωγής κάδου σε ποικιλία υπηρεσιών των μεγάλων παρόχων:

• Google Cloud: Επιβεβαιώθηκε σε θέσεις καταγραφής Cloud, συνδρομές Pub/Sub και εργασίες υπηρεσίας μεταφοράς αποθήκευσης. Απαιτούνται τα δικαιώματα storage.buckets.delete και storage.objects.delete.
• AWS: Εξετάστηκε για την αναπαραγωγή του κάδου S3 και τους αγωγούς Amazon Data Firehose που στοχεύουν προορισμούς S3.
• Azure: Αποδείχθηκε ότι είναι προϊόν πολλαπλών συνδρομών μέσω του Azure Monitor, περιοριζόμενο στο εύρος του ίδιου μισθωτή λόγω καθυστερήσεων επαναχρησιμοποίησης ονομάτων.

Οι ερευνητές προειδοποιούν ότι οι διαχειριστές αποθήκευσης συχνά ανατίθενται σε ρόλους που αυξάνουν την εκθέσιμη επιφάνεια. Σε περιβάλλοντα Google Cloud, ο ρόλος Διαχειριστής αποθήκευσης storage.buckets.delete παρέχεται από προεπιλογή, κάτι που επιτρέπει στους εισβολείς να αναδρομολογούν ροές δεδομένων χωρίς να χρειάζεται να τροποποιήσουν άμεσα τις διαθέσιμες διαμορφώσεις.

Η μονάδα 42 συστήνει ένα στρατηγικό σχέδιο άμυνας με δύο κύριες πτυχές:

• Περιορισμός δικαιωμάτων διαγραφής στους απολύτως απαιτούμενους ρόλους.
• Εφαρμογή πολιτικών ελέγχου περιμέτρου δεδομένων για να αποκλείονται οι εγγραφές σε κάδους εκτός αξιόπιστων ορίων.
• Ρύθμιση τοπικών χώρων ονομάτων AWS S3 για κλείσιμο ονομασιών κάδων σε συγκεκριμένα accounts.
• Ανάπτυξη ειδοποιήσεων παρακολούθησης για κρίσιμες κλήσεις API.

Αξιοσημείωτο είναι το γεγονός ότι αυτή η μέθοδος δεν περιορίζεται στους τρεις δοκιμασθέντες παρόχους. Οποιαδήποτε πλατφόρμα cloud που βασίζεται σε μοναδικούς πόρους μπορεί να είναι επιρρεπής σε αυτήν την απειλή. Οι ερευνητές κρούουν τον κώδωνα του κινδύνου, υποδεικνύοντας ότι τα κοινά σχεδιαστικά ελαττώματα μεταξύ των παρόχων cloud ανοίγουν το δρόμο για ευρεία εκμετάλλευση του ζητήματος σε διαφορετικά οικοσυστήματα.