Десятки AWS API позволяют получить представление о внутренней структуре компаний

22 интерфейса прикладного программирования (API) в 16 различных решениях Amazon Web Services могут быть использованы злоумышленниками, чтобы получить список и информацию о внутренней структуре облачной учетной записи организации для осуществления целевых атак против отдельных пользователей.

Как выяснили специалисты компании Palo Alto Networks, для проведения атак преступникам достаточно иметь 12-значный идентификатор AWS целевой организации, который используется и публикуется публично. Все уязвимые API могут использоваться одинаково во всех трех разделах AWS (aws, aws-us-gov и aws-cn). Уязвимые сервисы Amazon включают Amazon Simple Storage Service (S3), Amazon Key Management Service (KMS) и Amazon Simple Queue Service (SQS).

По словам специалистов, проблема связана с функцией AWS, призванной помочь пользователям избежать опечаток и ошибок при написании политики. Причина проблемы заключается в том, как функция управления идентификацией и доступом AWS обрабатывает специфический тип политики, известной как политика на основе ресурсов (resource-based policy), связанной с ресурсами AWS, такими как бакеты S3 и экземпляры Amazon EC2. В общей сложности данной политики придерживаются 26 сервисов AWS.

«Сообщения об ошибках непреднамеренно предоставляют слишком много информации. Злоумышленник может воспользоваться этим и узнать, существует ли конкретный пользователь или роль в другой учетной записи AWS», — пояснили эксперты.

Политики AWS на основе ресурсов включают поле с указанием пользователей или ролей, которым разрешен доступ к определенным ресурсам. Если политика содержит идентификатор, не включенный в поле, вызов связанного с политикой API вернет сообщение об ошибке. Хотя данная функция является полезной, злоумышленники могут легко злоупотреблять ею, чтобы попытаться перечислить или обнаружить всех пользователей и роли, связанные с учетной записью AWS организации.

Таким образом злоумышленник получает возможность осуществлять атаки, такие как поиск неправильно настроенных ролей, или отправлять целенаправленные фишинговые электронные письма отдельным лицам в организации. Примечательно, что AWS в настоящее время не фиксирует такую ​​активность, поэтому целевая организация не будет знать о проверке личности, проводимой в отношении ее учетной записи.