Sicherheitsrisiken durch AWS-Standardrollen: Ein Einfallstor für Angreifer

MÜNCHEN (IT BOLTWISE) – In der Welt der Cloud-Dienste sind Sicherheitslücken eine ständige Bedrohung, die Unternehmen dazu zwingt, ihre Systeme kontinuierlich zu überwachen und zu verbessern. Jüngste Entdeckungen von Sicherheitsforschern haben gezeigt, dass Standardrollen im Identity and Access Management (IAM) von Amazon Web Services (AWS) ein erhebliches Risiko darstellen können.

Die Sicherheitsforscher von Aqua Security haben herausgefunden, dass einige Standardrollen im IAM von AWS, die oft automatisch erstellt oder während der Einrichtung empfohlen werden, übermäßig breite Berechtigungen gewähren. Diese Rollen können Angreifern ermöglichen, Privilegien zu eskalieren, andere AWS-Dienste zu manipulieren und im schlimmsten Fall sogar vollständige AWS-Konten zu kompromittieren. Besonders besorgniserregend ist, dass diese Rollen, wie die von AWS-Diensten wie SageMaker, Glue, EMR und Lightsail, standardmäßig mit der AmazonS3FullAccess-Politik ausgestattet sind.

Diese weitreichenden Berechtigungen eröffnen Angreifern potenzielle Angriffspfade, die es ihnen ermöglichen, sich seitlich durch die Dienste zu bewegen und Isolationen zwischen den Diensten zu durchbrechen. Ein Angreifer, der Zugang zu einer Standarddienstrolle mit AmazonS3FullAccess erlangt, könnte die vorhandenen Privilegien nutzen, um nach Buckets zu suchen, die von anderen Diensten verwendet werden, und diese zu manipulieren. Dies könnte zu einer Eskalation der Privilegien und letztlich zu einer vollständigen Kompromittierung des AWS-Kontos führen.

Ein hypothetisches Angriffsszenario könnte so aussehen, dass ein Angreifer ein bösartiges maschinelles Lernmodell in eine Plattform wie Hugging Face hochlädt. Wird dieses Modell in SageMaker importiert, könnte es zur Ausführung von beliebigem Code führen, der dann genutzt werden könnte, um andere AWS-Dienste wie Glue zu kompromittieren, indem ein Backdoor eingeschleust wird, der IAM-Anmeldedaten stiehlt.

In Reaktion auf diese Entdeckungen hat AWS die AmazonS3FullAccess-Politik für Standarddienstrollen angepasst. Dennoch betonen die Forscher die Notwendigkeit, dass Organisationen proaktiv bestehende Rollen prüfen und aktualisieren sollten, um Risiken zu minimieren, anstatt sich auf Standardkonfigurationen zu verlassen.

Diese Sicherheitslücken in Cloud-Diensten sind nicht auf AWS beschränkt. Varonis hat kürzlich eine Schwachstelle in einem Dienstprogramm entdeckt, das auf Microsoft Azure AI und High-Performance Computing (HPC) Workloads vorinstalliert ist. Diese Schwachstelle ermöglicht es einem nicht privilegierten Benutzer auf einer Linux-Maschine, seine Privilegien auf Root zu eskalieren.

Solche Entdeckungen unterstreichen die Notwendigkeit für Unternehmen, ihre Cloud-Sicherheitsstrategien kontinuierlich zu überprüfen und anzupassen, um den sich ständig weiterentwickelnden Bedrohungen zu begegnen. Die Cloud bietet zwar immense Vorteile in Bezug auf Flexibilität und Skalierbarkeit, bringt jedoch auch neue Herausforderungen im Bereich der Cybersicherheit mit sich.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!