نفوذ به حسابهای کاربری ابری از طریق AWS STS
مهاجمان می توانند از خدمات رمز امنیتی وب سرویسهای آمازون (AWS STS) به عنوان راهی جهت نفوذ به حسابهای ابری و انجام حملات خود بهرهبردرای کنند. به گفته محققان این سرویس، مهاجمان را قادر میسازد تا هویت و نقشهای کاربر را در محیطهای ابری جعل کنند. AWS Security Token Service (STS) یک سرویس مبتنی بر وب است که به کاربران اجازه میدهد تا اعتبارنامههای موقت و با امتیاز محدود را درخواست کنند. این امر به کاربران امکان میدهد بدون نیاز به ایجاد هویت مجزای AWS به منابع AWS دسترسی داشته باشند. توکن های STS صادر شده توسط این سرویس برای مدت زمانی بین 15 دقیقه تا 36 ساعت معتبر باقی میمانند.
مهاجمان این توانایی را دارند که با استفاده از تکنیکهای متنوعی مانند نفوذ بدافزار، افشای اعتبارنامهها در معرض عموم و ایمیلهای فیشینگ فریبنده، توکنهای طولانی مدت IAM (مدیریت هویت و دسترسی) را به سرقت ببرند. متعاقباً، این توکنهای به سرقت رفته برای تعیین نقشها و امتیازات مرتبط با آنها از طریق فراخوانهای API مورد بهرهبرداری قرار میگیرند.
به گفته محققان امنیتی، بسته به سطح مجوز توکن، ممکن است مهاجمان بتوانند از آن جهت ایجاد کاربران IAM اضافی با توکنهای بلندمدت AKIA استفاده کنند تا در صورت کشف توکن اولیه AKIA و تمام توکنهای کوتاهمدت ASIA که تولید کرده است، شناسایی و باطل شوند. در مرحله بعدی، یک توکن STS تأیید شده توسط MFA جهت تولید چندین توکن کوتاه مدت جدید استفاده میشود.
توصیههای امنیتی
به کاربران توصیه میشود ثبت دادههای رویداد CloudTrail را فعال کنند، رویدادهای role-chaining و روشهای بهرهبرداری از احراز هویت چند عاملی (MFA) را شناسایی و بهطور منظم کلیدهای دسترسی را برای کاربران طولانیمدت IAM بهروزرسانی کنند.