Исследователи обнаружили, что злоумышленники могут скомпрометировать новую функцию Amazon Web Services (AWS), чтобы захватить статические общедоступные IP-адреса облачных учетных записей и использовать их в различных злонамеренных целях.
Субъекты угроз могут использовать функцию передачи эластичного IP (EIP) Amazon Virtual Private Cloud (VPC), чтобы украсть чужой EIP и использовать его в качестве собственного командно-контрольного устройства (C2) или для запуска фишинговых кампаний, которые выдают себя за жертву, исследователи от компании по реагированию на облачные инциденты Mitiga, раскрытой в сообщение в блоге 20 декабря.
По словам исследователей, злоумышленники также могут использовать украденный EIP для атаки на собственные конечные точки жертвы, защищенные брандмауэром, или в качестве исходной сетевой конечной точки жертвы, чтобы расширить возможности для кражи данных.
«Потенциальный ущерб жертве в результате захвата EIP и использования его в злонамеренных целях может означать использование имени жертвы, ставя под угрозу другие ресурсы жертвы в других облачных провайдерах/локально и [stealing the] информацию о клиентах жертвы», — написал в своем посте Ор Аспир, инженер-программист Mitiga.
Злоумышленники должны уже иметь разрешения на учетную запись AWS организации, чтобы использовать новый вектор атаки, который исследователи называют «атакой после первоначальной компрометации».
Однако, поскольку атака была невозможна до того, как эта функция была добавлена, и еще не внесена в список MITRE ATT&CK Framework, организации могут не знать, что они уязвимы для нее, поскольку существующие средства защиты вряд ли смогут ее обнаружить, считают исследователи. сказал.
«При наличии правильных разрешений в учетной записи AWS жертвы злоумышленник, используя один вызов API, может передать использованный EIP жертвы в свою собственную учетную запись AWS, таким образом практически получая над ней контроль», — пишет Aspir. «Во многих случаях это позволяет значительно усилить воздействие атаки и получить доступ к еще большему количеству активов».
Как работает эластичная передача IP-адресов
В октябре AWS представила EIP как законную функцию, позволяющую передавать эластичные IP-адреса из одной учетной записи AWS в другую. Эластичный IP-адрес (EIP) — это общедоступный и статический IPv4-адрес, доступ к которому можно получить из Интернета и который может быть выделен экземпляру Elastic Compute Cloud (EC2) для операций с выходом в Интернет, таких как размещение веб-сайтов или связь с сетевыми конечными точками под брандмауэр.
AWS представила эту функцию, чтобы упростить перемещение эластичных IP-адресов во время реструктуризации учетной записи AWS путем переноса EIP в любую учетную запись AWS — даже в учетные записи AWS, которые не принадлежат кому-либо или его или ее организации, говорят исследователи.
Благодаря этой функции перенос представляет собой простое «двухэтапное рукопожатие между учетными записями AWS — исходной учетной записью (либо стандартной учетной записью AWS, либо учетной записью AWS Organizations) и учетной записью передачи», — пояснил Aspir.
Злоупотребление Elastic IP Transfer
Однако легкость, с которой теперь можно передавать EIP, создает непреднамеренную проблему — хотя это, безусловно, облегчает процесс передачи IP для законных владельцев учетных записей, но также облегчает его и для злоумышленников, говорят исследователи.
Исследователи описали базовый сценарий, чтобы проиллюстрировать, как злоумышленники могут воспользоваться передачей EIP, предполагая, что у злоумышленников уже есть разрешения, позволяющие им «видеть» существующие EIP и их статус, а также независимо от того, связаны ли они с другими компьютерными ресурсами.
Как правило, EIP связаны, но иногда организация хранит разъединенные EIP для последующего использования или в результате неуправляемой среды, в которой хранятся неиспользуемые ресурсы, говорят исследователи. «В любом случае злоумышленнику нужно только включить передачу EIP, и IP-адрес принадлежит ему», — пишет Aspir.
Исследователи говорят, что злоумышленники могут сделать это двумя способами с правильными разрешениями: либо передать диссоциированный EIP, либо удалить ассоциацию связанного EIP, а затем передать его.
В первом случае злоумышленник должен иметь следующее действие в присоединенной политике управления идентификацией и доступом (IAM) на AWS: действие «ec2:DisassociateAddress» для эластичных IP-адресов и сетевых интерфейсов, к которым привязаны IP-адреса.
По словам исследователей, для передачи EIP субъект угрозы должен иметь следующие действия в своей прикрепленной политике IAM: «ec2:DescribeAddresses» для всех IP-адресов и «ec2:EnableAddressTransfer» для адреса EIP, который злоумышленник хочет передать.
Использование украденного EIP
Существует широкий спектр сценариев атак, в которых злоумышленник может участвовать после успешной передачи чужого EIP под свой собственный контроль.
Например, во внешних брандмауэрах, используемых жертвой, злоумышленник может взаимодействовать с сетевыми конечными точками за брандмауэрами, если для определенного IP-адреса существует разрешающее правило, говорят исследователи.
Кроме того, в случаях, когда жертва использует поставщиков DNS, таких как служба Route53, могут быть записи DNS типа «A», в которых целью является переданный IP-адрес. В этом случае злоумышленник может злоупотребить адресом для размещения вредоносного веб-сервера в домене законной жертвы, а затем запустить другие вредоносные действия, такие как фишинговые атаки, говорят исследователи.
Злоумышленники также могут использовать украденный IP-адрес в качестве C2, используя его для вредоносных кампаний, которые кажутся законными и, таким образом, остаются вне поля зрения средств защиты. По словам исследователей, субъект угрозы может даже вызвать отказ в обслуживании (DoS) для общедоступных служб жертвы, если он отключит EIP от работающей конечной точки и передаст его.
Кто в группе риска и как его уменьшить
Исследователи сообщили, что любой, кто использует ресурсы EIP в учетной записи AWS, подвергается риску и, следовательно, должен относиться к ресурсам EIP так же, как к другим ресурсам в AWS, которые находятся под угрозой эксфильтрации.
Чтобы защитить себя от атаки передачи EIP, Митига рекомендует предприятиям использовать принцип наименьших привилегий для учетных записей AWS и даже полностью отключить возможность передачи EIP, если это не является необходимой функцией в их среде.
Для этого организация может использовать встроенные функции AWS IAM, такие как политики управления службами (SCP), которые обеспечивают централизованный контроль над максимально доступными разрешениями для всех учетных записей в организации. работает.
