Субъекты угроз могут воспользоваться сервисом токенов безопасности Amazon Web Services (AWS STS) для проникновения в облачные учетные записи и проведения последующих атак.
Служба позволяет субъектам угроз выдавать себя за личности пользователей и роли в облачных средах, заявили исследователи Red Canary Томас Гарднер и Коди Бетсворт в анализе, опубликованном во вторник.
AWS STS - это веб-сервис, который позволяет пользователям запрашивать временные учетные данные с ограниченными привилегиями для доступа к ресурсам AWS без необходимости создания удостоверения AWS. Эти токены STS могут быть действительны от 15 минут до 36 часов.
Субъекты угроз могут красть долгосрочные токены IAM с помощью различных методов, таких как заражение вредоносными программами, общедоступные учетные данные и фишинговые электронные письма, впоследствии используя их для определения ролей и привилегий, связанных с этими токенами, посредством вызовов API.
"В зависимости от уровня разрешения токена злоумышленники также могут использовать его для создания дополнительных пользователей IAM с долгосрочными токенами AKIA, чтобы обеспечить сохраняемость в случае обнаружения и отзыва их первоначального токена AKIA и всех сгенерированных им краткосрочных токенов ASIA", - сказал исследователь.
На следующем этапе токен STS, прошедший проверку подлинности MFA, используется для создания нескольких новых краткосрочных токенов с последующим выполнением действий после эксплуатации, таких как удаление данных.
Для предотвращения такого злоупотребления токенами AWS рекомендуется регистрировать данные о событиях CloudTrail, обнаруживать события с распределением ролей и злоупотребления MFA, а также менять долгосрочные ключи доступа пользователей IAM.
"AWS STS - это критический элемент управления безопасностью, позволяющий ограничить использование статических учетных данных и продолжительность доступа пользователей к облачной инфраструктуре", - сказали исследователи.
"Однако при определенных конфигурациях IAM, распространенных во многих организациях, злоумышленники также могут создавать токены STS и злоупотреблять ими для доступа к облачным ресурсам и выполнения вредоносных действий".
