Недавно в СМИ появился ряд сообщений о возможности утечки из плохо сконфигурированных объектных хранилищ, предоставляемых Amazon как веб-сервис. Так, на прошлой неделе интернет-сообщество узнало, что партнер крупнейшей американской телекоммуникационной компании Verizon хранит персональные данные миллионов ее клиентов на незащищенном сервере. Несколько ранее аналогичная ошибка всплыла на медиаресурсе World Wrestling Entertainment. В обоих случаях клиентские данные были размещены в так называемых «корзинах» AWS Simple Storage Service (S3).

Причины, по которым конфиденциальная информация оказалась в открытом доступе, могут быть различными, однако эксперты Detectify уверены, что многие серверы AWS S3 сливают данные из-за общей ошибки – неправильных настроек доступа. Представляя отчет об исследовании, проведенном силами подразделения Detectify Labs, консультант компании по вопросам ИБ Франс Розен (Frans Rosén) отметил, что сетевые администраторы слишком часто пренебрегают правилами ограничения доступа, который на AWS контролируется с помощью списков ACL.

«Выявив ряд ошибок в конфигурации, мы к своему удивлению обнаружили, что можем контролировать и мониторить часто посещаемые сайты, а также нарушать их работу из-за слабых настроек ACL-списков доступа к корзине и объектам», – пишет Розен.

AWS-серверы, по словам эксперта, содержат баг, позволяющий идентифицировать имя корзины S3. Используя этой имя, инициатор атаки сможет с помощью AWS-инструмента командной строки обращаться к API Amazon. Если атакующий все сделает правильно, он получит доступ к списку S3 и возможность просматривать файлы, записывать в них данные, загружать свои файлы в корзину или поменять права доступа.

При этом хостинг-провайдер ничего даже не заподозрит, так как сетевые администраторы слишком часто предоставляют пользователям широкие права на доступ к корзинам S3. Этим может воспользоваться злоумышленник, если у него есть регистрационные данные AWS.

«Если в настройках доступа указано AuthenticatedUsers, это означает разрешение для всех, у кого есть валидные AWS-идентификаторы, а их можно раздобыть, зарегистрировавшись на AWS, – пояснил Розен для Threatpost. – Эта настройка по сути аналогична AllUsers, так как зарегистрировать AWS-аккаунт может кто угодно. Мы полагаем, дело в том, что при выборе настроек можно нечаянно спутать Authenticated и Authorized».

Если допустить ошибку в настройках S3, все, что понадобится для проведения атаки, – это имя корзины. Как обнаружили исследователи, заполучить его не так уж трудно, как и узнать имя компании, использующей сервис AWS S3. Согласно отчету Detectify, заставить корзину выдать свое имя можно несколькими способами, в том числе просмотром HTTP-ответа со значением AmazonS3 в поле Server Header.

Amazon, со своей стороны, не считает данную проблему багом. В ответ на сообщение Detectify представители хостинг-провайдера заявили, что неправильная конфигурация сервера AWS S3 – ошибка пользователя и Amazon никаких исправлений вносить не будет.

Комментируя результаты исследования Detectify, Розен признал: они не уверены в том, что причиной утечек в Verizon и World Wrestling является именно такая ошибка. Тем не менее, исследователи идентифицировали 40 компаний, допустивших разные ошибки в настройках доступа к корзинам S3.

Исследователи из Rhino Labs тоже протестировали серверы AWS S3, используемые 10 тыс. топовых сайтов списка Alexa, и обнаружили, что 107 из них (1,1%) страдают от ошибок в настройках. Решить эту проблему легко: AWS-сервис предоставляет инструменты для смены прав доступа к корзинам S3 и блокировки доступа.

Категории: Аналитика, Главное, Уязвимости