Sonntag, November 27, 2022

AWS behebt Schwachstelle „verwirrter Stellvertreter“ in AppSync

Amazon Web Services (AWS) hat einen mandantenübergreifenden Fehler in AWS AppSync behoben, der es Angreifern ermöglichen könnte, diesen Cloud-Service zu missbrauchen, um Identitäts- und Zugriffsverwaltungsrollen in anderen AWS-Konten zu übernehmen und dadurch Zugriff und Kontrolle über diese Ressourcen zu erlangen.

Die Sicherheitsforscher von Datadog identifizierten den Fehler und meldeten ihn am 1. September an AWS. Fünf Tage später schickte der Technologieriese einen Fix an den AppSync-Dienst, der von Datadog als behoben bestätigt wurde.

Laut AWS waren keine Kunden von der Schwachstelle betroffen und es sind keine Kundenmaßnahmen erforderlich.

In einer am Montag veröffentlichten Erklärung dankte der Cloud-Anbieter Datadog für die Meldung des „Call-Sensitivity-Parsing-Problems“ in AppSync.

„AWS hat sofort versucht, dieses Problem zu beheben, als es gemeldet wurde“, heißt es dort. „Die Analyse von Protokollen, die bis zum Start des Dienstes zurückreichen, wurde durchgeführt, und wir haben definitiv festgestellt, dass die einzige Aktivität im Zusammenhang mit diesem Problem zwischen Konten im Besitz des Forschers stattfand. Keine anderen Kundenkonten waren betroffen.“

AWS AppSync bietet eine GraphQL-Schnittstelle für Anwendungsentwickler, um Daten aus Amazon DynamoDB, AWS Lambda und externen APIs wie Datadog zu kombinieren. Zusätzlich zu den Standarddatenquellen können Entwickler Integrationen erstellen, um AppSync das direkte Aufrufen von APIs zu ermöglichen, indem sie eine Rolle erstellen, die AppSync die Berechtigungen erteilt, die es für Identity and Access Management (IAM) benötigt.

Da Datadog in AppSync integriert ist, wollten die Sicherheitsforscher des Unternehmens sehen, ob sie den AWS-Dienst „austricksen“ könnten, damit er eine Rolle übernimmt und dann auf Ressourcen aus anderen Datenquellen zugreift und diese kontrolliert.

In einem Proof of Concept beschrieben sie es als „verwirrendes Stellvertreterproblem“, bei dem ein Angreifer einen Dienst mit höheren Berechtigungen – in diesem Fall AppSync – davon überzeugt, eine Aktion für den Angreifer auszuführen.

Zu diesem Zweck fanden die Forscher einen Weg, die Validierung des Amazon-Ressourcennamens (ARN) über eine JSON-Nutzlast zu umgehen, bei der die Groß- und Kleinschreibung beachtet wird. Anstelle einer Anfrage mit dem normalen „serviceRoleArn“-Fall haben sie die Anfrage mit einem rein kleingeschriebenen „servicerolearn“ geändert.

Nach Umgehung der ARN-Validierung könnte ein Angreifer „Kontogrenzen überschreiten und AWS-API-Aufrufe auf Opferkonten über IAM-Rollen ausführen, die dem AppSync-Dienst vertrauen“, schrieben sie. „Durch die Verwendung dieser Methode könnten Angreifer in Organisationen eindringen, die AppSync verwenden, und Zugriff auf Ressourcen erhalten, die diesen Rollen zugeordnet sind.“

Letztendlich würde dies dem Angreifer die vollständige Kontrolle über die Ressourcen des Opfers geben, fügten die Forscher hinzu: „Dies würde es dem Angreifer ermöglichen, mit dieser Datenquelle zu interagieren, als ob sie ihm gehörte.“ ®

Related Articles

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Latest Articles